Скачать презентацию Carte d identité électronique belge Ir Olivier LIBON Fed Скачать презентацию Carte d identité électronique belge Ir Olivier LIBON Fed

fcc7fd056406761beaa433ccbb12a4c1.ppt

  • Количество слайдов: 25

Carte d’identité électronique belge Ir. Olivier LIBON. Fed. ICT - Architecte Sécurité Copyright © Carte d’identité électronique belge Ir. Olivier LIBON. Fed. ICT - Architecte Sécurité Copyright © Fed. ICT 2003. All rights reserved

Agenda 4 Fed. ICT (stratégie e. Gov belge) w Principes w Objectifs w Planning Agenda 4 Fed. ICT (stratégie e. Gov belge) w Principes w Objectifs w Planning 4 Fed. PKI (initiative PKI belge) w Hiérarchie de confiance w Certificats w Services de confiance 4 Bel. PIC (carte d’identité électronique) w w w Partie visuelle vs partie électronique Authentification vs Signature Production / Personnalisation Carte / Puce / Données / Middle. Ware / Toolkit Applications: aujourd’hui et demain Copyright © Fed. ICT 2004. All rights reserved

Fed. ICT “stratégie e. Gov belge” Copyright © Fed. ICT 2003. All rights reserved Fed. ICT “stratégie e. Gov belge” Copyright © Fed. ICT 2003. All rights reserved

Principes 4 Complexité Administrative Simplification 1 état fédéral 3 régions / 3 communautés 10 Principes 4 Complexité Administrative Simplification 1 état fédéral 3 régions / 3 communautés 10 provinces / 589 Communes Fonctionnaires Entreprises ? Citoyens w Front-Office: principe de collection unique gestion des identités fédérées (Fed. PKI) site transactionnel fédéré (Fed. GATE) échange d ’information fédéré (Fed. UME) gestion de réseau fédéré (Fed. MAN) w Back-Office: principe des sources authentiques BD/ID unique des citoyens (Registre de Population) BD/ID unique des entreprises (Banque Carrefour des Entreprises) . . . Copyright © Fed. ICT 2004. All rights reserved

Objectifs Citoyens Entreprises Fonctionnaires Fed. PKI Cadre de Gestion des Identités unifié Fed. GATE Objectifs Citoyens Entreprises Fonctionnaires Fed. PKI Cadre de Gestion des Identités unifié Fed. GATE Portail Local Site Transactionel fédéré Fed. UME Local Couche intégration unifiée Réseau Local Fed. MAN Réseau TCP/IP unifié Régions Communautés Communes Provinces Min. Int Copyright © Fed. ICT 2004. All rights reserved Min. Fin Min. Eco Min. Soc . . .

Planning 2001 2002 2003 2004 Fed. PKI Authentification Autorisation Fed. GATE Site Static Site Planning 2001 2002 2003 2004 Fed. PKI Authentification Autorisation Fed. GATE Site Static Site Transactionnel Fed. UME Syntaxe Sémantique Fed. MAN Réseau IP Services IP Ids Uniques Copyright © Fed. ICT 2004. All rights reserved BD Citoyens & Ids uniques BD Entreprises & Ids unique . . .

Fed. PKI “initiative PKI belge” Copyright © Fed. ICT 2003. All rights reserved Fed. PKI “initiative PKI belge” Copyright © Fed. ICT 2003. All rights reserved

Hiérarchie de confiance gn Self. Si m Belgiu Root ign Root. S m Belgiu Hiérarchie de confiance gn Self. Si m Belgiu Root ign Root. S m Belgiu Root ARL n Admin CA Citize CA CRL Cert Card Hierar in Admin Copyright © Fed. ICT 2004. All rights reserved Gov CA Client Auth Elec Sign CRL Data Crypt r Serve t Cer Auth/Sign Client Cert t Objec t Cer

Certificats 4 Clés et certificats citoyens w Authentification: Certificat & paire de clés (1024 Certificats 4 Clés et certificats citoyens w Authentification: Certificat & paire de clés (1024 bits) authentification forte (contrôle d ’accès) m Belgiu Root CA authentification sur site web single sign-on (login) etc. w Signature: Certificate & paire de clés (1024 bits) n Citize CA non réfutable (équivalent à la signature manuscrite) Signature de Document Signature de Formulaires etc. w (Encryption: Certificate & paire de clés) Auth Sign Crypt Copyright © Fed. ICT 2004. All rights reserved prévu à un stade ultérieur backup/archivage de la clé privée

Services de Confiance XKMS Enregistrement Requête Registre Population Communes CPS SLA CA Factory Citoyens Services de Confiance XKMS Enregistrement Requête Registre Population Communes CPS SLA CA Factory Citoyens Sites Sécurisés Auth/Sign Valider OCSP Copyright © Fed. ICT 2004. All rights reserved

BELPIC “carte d’identité électronique” Copyright © Fed. ICT 2003. All rights reserved BELPIC “carte d’identité électronique” Copyright © Fed. ICT 2003. All rights reserved

But de la carte Preuve d’identité 4 Donner à chaque citoyen belge une carte But de la carte Preuve d’identité 4 Donner à chaque citoyen belge une carte d’identité électronique leur permettant de s’ authentifier au travers d’applications diverses et de signer électroniquement Outil de Signature Copyright © Fed. ICT 2004. All rights reserved

Partie Visuelle 4 D’un point de vue visuel: la même information est visible que Partie Visuelle 4 D’un point de vue visuel: la même information est visible que sur l’ancienne carte: Identification visuelle du citoyen w w w w le nom les deux premiers prénoms l’initiale du troisième prénom la nationalité le lieu et la date de naissance le genre la commune de délivrance les dates de début et fin de validité de la carte la dénomination et le numéro de la carte la photo du citoyen la signature du citoyen le numéro de Registre National l’adresse (jusqu’au 31/12/2003) 4 Même fonction que l’ancienne carte Copyright © Fed. ICT 2004. All rights reserved

Partie électronique 4 D’un point de vue électronique: la puce contient la même information Partie électronique 4 D’un point de vue électronique: la puce contient la même information que ce qui est imprimé sur la carte, plus: Identification électronique du citoyen w w Le certificat et la clé de d’authentification Le certificat et la clé de signature Les certificats de l’autorité de certification accréditée L’information nécessaire pour la sécurisation de la carte et des données d’identité w L’adresse du citoyen 4 Pas de certificat d’encryption 4 Pas de porte-monnaie électronique 4 Pas de données biométriques 4 Conforme à la directive européenne 1999/93/EC Copyright © Fed. ICT 2004. All rights reserved

Fonctions de la carte Capture des données Authentification forte Signature électronique Copyright © Fed. Fonctions de la carte Capture des données Authentification forte Signature électronique Copyright © Fed. ICT 2004. All rights reserved

Capture des données Copyright © Fed. ICT 2004. All rights reserved Capture des données Copyright © Fed. ICT 2004. All rights reserved

Authentification Sites Web (SSO) Contrôle d’accès containers … Copyright © Fed. ICT 2004. All Authentification Sites Web (SSO) Contrôle d’accès containers … Copyright © Fed. ICT 2004. All rights reserved bibliotèques piscine

Signature 1. Compose message 2. Compute hash 3. Generate signature 4. Collect signature 6 Signature 1. Compose message 2. Compute hash 3. Generate signature 4. Collect signature 6 5. Collect certificate 6. Send message 7 1 hash 1 Alic e hash 6 e CRL 2 8 2 5 4 3 Alice 3, 4 Alic e 5 Matching triplet? Bob 1. Receive message 3. Check CRL/OCSP 5. Fetch public key 7. Compute reference hash 2. Inspect certificate 4. Check certificate 6. Fetch signature 8. Hash, signature, public key match? Copyright © Fed. ICT 2004. All rights reserved

Spécifications de la carte 4 Standard - ISO/IEC 7816 w w Format & caractéristiques Spécifications de la carte 4 Standard - ISO/IEC 7816 w w Format & caractéristiques physiques format bancaire Signaux et contacts électroniques RST, GND, CLK, Vpp, Vcc, I/O Commandes et langage d’interrogation (APDU) etc. Copyright © Fed. ICT 2004. All rights reserved

Aspects sécurité 4 Visuels w Rainbow and guilloche printing w Changeable Laser Image (CLI) Aspects sécurité 4 Visuels w Rainbow and guilloche printing w Changeable Laser Image (CLI) w Optical Variable Ink (OVI) w Alphagram w Relief and UV print w Laser engraving 4 Electroniques Copyright © Fed. ICT 2004. All rights reserved • • • SHA-1 RSA SPA/DPA/… resistent EAL 5+ certified … 12345678

Spécifications de la puce 4 Caractéristiques de la puce: Cryptoflex Java. Card 32 K Spécifications de la puce 4 Caractéristiques de la puce: Cryptoflex Java. Card 32 K w CPU (processeur): Micro-controlleur 16 bit w Crypto-processeur: 1100 bit Crypto-Engine (RSA computation) 112 bit Crypto-Accelerator (DES computation) w ROM (OS): 136 k. B (GEOS Java Virtual Machine) w EEPROM (Applic + Data): 32 KB (Cristal Applet) w RAM (memory): 5 KB Crypto ROM (DES, RSA) (Operating System) EEPROM I/O CPU (File System= applications + data) RAM (Memory) Copyright © Fed. ICT 2004. All rights reserved “GEOS” JVM “CRISTAL” Applet ID data, Keys, Certs.

Spécifications de données 4 Structure de répertoire (PKCS#15) w Dir (Bel. PIC): clés et Spécifications de données 4 Structure de répertoire (PKCS#15) w Dir (Bel. PIC): clés et certificats (protégé par code PIN) Bel. PIC ID Clé Base . . . Clé Auth Cert Auth ADR Clé Sign Cert Sign PIC . . . Cert CA ID clés de CA : 2048 bits clés de citoyens: 1024 bits Signatures RSA / SHA-1 Certificats X. 509 v 3 format standard (pour applications génériques) . . . Cert Root Microsoft Crypto. API ( Windows) PKCS#11 ( UNIX/Linux & Mac. OS) w Dir (ID): information d’identité étendue nom, prénom, etc. adresse photo etc. format propriétaire (pour applications dédicacées) Copyright © Fed. ICT 2004. All rights reserved

Spécifications logicielles Windows Non Win Bel. PIC Generic Specific Applics 4 Logicielles pour carte Spécifications logicielles Windows Non Win Bel. PIC Generic Specific Applics 4 Logicielles pour carte et lecteurs w Pilote de carte PKCS#15 pour applications dédicacées MS-CSP carte accédée comme un système de fichier pas de gestion des clés (pas de PIN) pour la police, la poste, les banques, etc (Microsoft interface) PKCS#11 pour applications génériques PKCS#11 (Certificate & Keys Management) PIN PKCS#15 Open. SC (pin logic library) (Generic SC Interface) DLL PC/SC (C-reader DLL) (Generic SC Reader Interface) Driver I/O (Specific SC Reader Interface) Copyright © Fed. ICT 2004. All rights reserved uniquement clés et certficats accessibles permet l ’authentification et la signature pour Netscape, Linux, Unix, etc MS-CSP pour applications Microsoft uniquement clés et certficats accessibles permet l ’authentification et la signature pour Microsoft Explorer, Outlook, etc w Pilote de lecteurs la plupart est générique (partie orange) une petite partie est spécifique (partie verte)

Spécifications du Tookit Sign Plugin Auth Proxy Data Capture MS-CSP (Microsoft interface) Toolkit PKCS#11 Spécifications du Tookit Sign Plugin Auth Proxy Data Capture MS-CSP (Microsoft interface) Toolkit PKCS#11 (Certificate & Keys Management) PIN PKCS#15 Open. SC (pin logic library) (Generic SC Interface) DLL PC/SC (C-reader DLL) (Generic SC Reader Interface) Driver I/O (Specific SC Reader Interface) Copyright © Fed. ICT 2004. All rights reserved 4 Toolkits w Kit de capture des données Get. Identity Get. Address Get. Picture Get. Version. . . w Proxy d’authentification Déclenche l’authentification forte Valide les Certificates Retourne le contenu des Certificats … w Plugin de signature supporte les signatures PDF/XML Valide les Certificats Verifie les Signatures …

Merci ! Pour plus d’info www. fedict. be Copyright © Fed. ICT 2004. All Merci ! Pour plus d’info www. fedict. be Copyright © Fed. ICT 2004. All rights reserved