Carte d’identité électronique belge Ir. Olivier LIBON. Fed. ICT - Architecte Sécurité Copyright © Fed. ICT 2003. All rights reserved
Agenda 4 Fed. ICT (stratégie e. Gov belge) w Principes w Objectifs w Planning 4 Fed. PKI (initiative PKI belge) w Hiérarchie de confiance w Certificats w Services de confiance 4 Bel. PIC (carte d’identité électronique) w w w Partie visuelle vs partie électronique Authentification vs Signature Production / Personnalisation Carte / Puce / Données / Middle. Ware / Toolkit Applications: aujourd’hui et demain Copyright © Fed. ICT 2004. All rights reserved
Fed. ICT “stratégie e. Gov belge” Copyright © Fed. ICT 2003. All rights reserved
Principes 4 Complexité Administrative Simplification 1 état fédéral 3 régions / 3 communautés 10 provinces / 589 Communes Fonctionnaires Entreprises ? Citoyens w Front-Office: principe de collection unique gestion des identités fédérées (Fed. PKI) site transactionnel fédéré (Fed. GATE) échange d ’information fédéré (Fed. UME) gestion de réseau fédéré (Fed. MAN) w Back-Office: principe des sources authentiques BD/ID unique des citoyens (Registre de Population) BD/ID unique des entreprises (Banque Carrefour des Entreprises) . . . Copyright © Fed. ICT 2004. All rights reserved
Objectifs Citoyens Entreprises Fonctionnaires Fed. PKI Cadre de Gestion des Identités unifié Fed. GATE Portail Local Site Transactionel fédéré Fed. UME Local Couche intégration unifiée Réseau Local Fed. MAN Réseau TCP/IP unifié Régions Communautés Communes Provinces Min. Int Copyright © Fed. ICT 2004. All rights reserved Min. Fin Min. Eco Min. Soc . . .
Planning 2001 2002 2003 2004 Fed. PKI Authentification Autorisation Fed. GATE Site Static Site Transactionnel Fed. UME Syntaxe Sémantique Fed. MAN Réseau IP Services IP Ids Uniques Copyright © Fed. ICT 2004. All rights reserved BD Citoyens & Ids uniques BD Entreprises & Ids unique . . .
Fed. PKI “initiative PKI belge” Copyright © Fed. ICT 2003. All rights reserved
Hiérarchie de confiance gn Self. Si m Belgiu Root ign Root. S m Belgiu Root ARL n Admin CA Citize CA CRL Cert Card Hierar in Admin Copyright © Fed. ICT 2004. All rights reserved Gov CA Client Auth Elec Sign CRL Data Crypt r Serve t Cer Auth/Sign Client Cert t Objec t Cer
Certificats 4 Clés et certificats citoyens w Authentification: Certificat & paire de clés (1024 bits) authentification forte (contrôle d ’accès) m Belgiu Root CA authentification sur site web single sign-on (login) etc. w Signature: Certificate & paire de clés (1024 bits) n Citize CA non réfutable (équivalent à la signature manuscrite) Signature de Document Signature de Formulaires etc. w (Encryption: Certificate & paire de clés) Auth Sign Crypt Copyright © Fed. ICT 2004. All rights reserved prévu à un stade ultérieur backup/archivage de la clé privée
Services de Confiance XKMS Enregistrement Requête Registre Population Communes CPS SLA CA Factory Citoyens Sites Sécurisés Auth/Sign Valider OCSP Copyright © Fed. ICT 2004. All rights reserved
BELPIC “carte d’identité électronique” Copyright © Fed. ICT 2003. All rights reserved
But de la carte Preuve d’identité 4 Donner à chaque citoyen belge une carte d’identité électronique leur permettant de s’ authentifier au travers d’applications diverses et de signer électroniquement Outil de Signature Copyright © Fed. ICT 2004. All rights reserved
Partie Visuelle 4 D’un point de vue visuel: la même information est visible que sur l’ancienne carte: Identification visuelle du citoyen w w w w le nom les deux premiers prénoms l’initiale du troisième prénom la nationalité le lieu et la date de naissance le genre la commune de délivrance les dates de début et fin de validité de la carte la dénomination et le numéro de la carte la photo du citoyen la signature du citoyen le numéro de Registre National l’adresse (jusqu’au 31/12/2003) 4 Même fonction que l’ancienne carte Copyright © Fed. ICT 2004. All rights reserved
Partie électronique 4 D’un point de vue électronique: la puce contient la même information que ce qui est imprimé sur la carte, plus: Identification électronique du citoyen w w Le certificat et la clé de d’authentification Le certificat et la clé de signature Les certificats de l’autorité de certification accréditée L’information nécessaire pour la sécurisation de la carte et des données d’identité w L’adresse du citoyen 4 Pas de certificat d’encryption 4 Pas de porte-monnaie électronique 4 Pas de données biométriques 4 Conforme à la directive européenne 1999/93/EC Copyright © Fed. ICT 2004. All rights reserved
Fonctions de la carte Capture des données Authentification forte Signature électronique Copyright © Fed. ICT 2004. All rights reserved
Capture des données Copyright © Fed. ICT 2004. All rights reserved
Authentification Sites Web (SSO) Contrôle d’accès containers … Copyright © Fed. ICT 2004. All rights reserved bibliotèques piscine
Signature 1. Compose message 2. Compute hash 3. Generate signature 4. Collect signature 6 5. Collect certificate 6. Send message 7 1 hash 1 Alic e hash 6 e CRL 2 8 2 5 4 3 Alice 3, 4 Alic e 5 Matching triplet? Bob 1. Receive message 3. Check CRL/OCSP 5. Fetch public key 7. Compute reference hash 2. Inspect certificate 4. Check certificate 6. Fetch signature 8. Hash, signature, public key match? Copyright © Fed. ICT 2004. All rights reserved
Spécifications de la carte 4 Standard - ISO/IEC 7816 w w Format & caractéristiques physiques format bancaire Signaux et contacts électroniques RST, GND, CLK, Vpp, Vcc, I/O Commandes et langage d’interrogation (APDU) etc. Copyright © Fed. ICT 2004. All rights reserved
Aspects sécurité 4 Visuels w Rainbow and guilloche printing w Changeable Laser Image (CLI) w Optical Variable Ink (OVI) w Alphagram w Relief and UV print w Laser engraving 4 Electroniques Copyright © Fed. ICT 2004. All rights reserved • • • SHA-1 RSA SPA/DPA/… resistent EAL 5+ certified … 12345678
Spécifications de la puce 4 Caractéristiques de la puce: Cryptoflex Java. Card 32 K w CPU (processeur): Micro-controlleur 16 bit w Crypto-processeur: 1100 bit Crypto-Engine (RSA computation) 112 bit Crypto-Accelerator (DES computation) w ROM (OS): 136 k. B (GEOS Java Virtual Machine) w EEPROM (Applic + Data): 32 KB (Cristal Applet) w RAM (memory): 5 KB Crypto ROM (DES, RSA) (Operating System) EEPROM I/O CPU (File System= applications + data) RAM (Memory) Copyright © Fed. ICT 2004. All rights reserved “GEOS” JVM “CRISTAL” Applet ID data, Keys, Certs.
Spécifications de données 4 Structure de répertoire (PKCS#15) w Dir (Bel. PIC): clés et certificats (protégé par code PIN) Bel. PIC ID Clé Base . . . Clé Auth Cert Auth ADR Clé Sign Cert Sign PIC . . . Cert CA ID clés de CA : 2048 bits clés de citoyens: 1024 bits Signatures RSA / SHA-1 Certificats X. 509 v 3 format standard (pour applications génériques) . . . Cert Root Microsoft Crypto. API ( Windows) PKCS#11 ( UNIX/Linux & Mac. OS) w Dir (ID): information d’identité étendue nom, prénom, etc. adresse photo etc. format propriétaire (pour applications dédicacées) Copyright © Fed. ICT 2004. All rights reserved
Spécifications logicielles Windows Non Win Bel. PIC Generic Specific Applics 4 Logicielles pour carte et lecteurs w Pilote de carte PKCS#15 pour applications dédicacées MS-CSP carte accédée comme un système de fichier pas de gestion des clés (pas de PIN) pour la police, la poste, les banques, etc (Microsoft interface) PKCS#11 pour applications génériques PKCS#11 (Certificate & Keys Management) PIN PKCS#15 Open. SC (pin logic library) (Generic SC Interface) DLL PC/SC (C-reader DLL) (Generic SC Reader Interface) Driver I/O (Specific SC Reader Interface) Copyright © Fed. ICT 2004. All rights reserved uniquement clés et certficats accessibles permet l ’authentification et la signature pour Netscape, Linux, Unix, etc MS-CSP pour applications Microsoft uniquement clés et certficats accessibles permet l ’authentification et la signature pour Microsoft Explorer, Outlook, etc w Pilote de lecteurs la plupart est générique (partie orange) une petite partie est spécifique (partie verte)
Spécifications du Tookit Sign Plugin Auth Proxy Data Capture MS-CSP (Microsoft interface) Toolkit PKCS#11 (Certificate & Keys Management) PIN PKCS#15 Open. SC (pin logic library) (Generic SC Interface) DLL PC/SC (C-reader DLL) (Generic SC Reader Interface) Driver I/O (Specific SC Reader Interface) Copyright © Fed. ICT 2004. All rights reserved 4 Toolkits w Kit de capture des données Get. Identity Get. Address Get. Picture Get. Version. . . w Proxy d’authentification Déclenche l’authentification forte Valide les Certificates Retourne le contenu des Certificats … w Plugin de signature supporte les signatures PDF/XML Valide les Certificats Verifie les Signatures …
Merci ! Pour plus d’info www. fedict. be Copyright © Fed. ICT 2004. All rights reserved
Скачать презентацию Carte d identité électronique belge Ir Olivier LIBON Fed
fcc7fd056406761beaa433ccbb12a4c1.ppt