FOIRE AUX QUESTIONS (FAQ) POLITIQUE DE CERTIFICATION

1.       Qu'est-ce-qu'une politique de certification ?

Une "Politique de certification" ou "Certificate Policies (CP)" repose sur la recommandation du CCITT X.509 V3 qui la définit de la façon suivante : (RFC 2527)

"A named set of rules that indicates the applicability of a certificate to a particular community and/or class of application with security requirements".

2.       Quelles sont les relations entre PC et certificat ?

Les certificats électroniques comprennent parmi les informations contenues l'appellation ou le numéro d'identification de la Politique visée. En plaçant cette mention dans le certificat, le Prestataire de Service de Certification (PSC) stipule que le certificat a été produit dans le respect des spécifications de cette Politique.

3.       quelles sont les références techniques pour la PC ?

Quoique issu du monde de l'EDI, le système du CPS a retenu l'attention des techniciens de l'Internet, réunis dans l'Internet Engineering Task Force. Le groupe de travail spécifique à l'Infrastructure de clés publiques X.509 ou IETF/PKIX a élaboré un RFC ("Request For Comments", document soumis à consultation avant adoption définitive) spécifique, dont la partie 4 détermine un cadre CP/CPS. Le cadre décrit la structure et le format des documents de types CP et CPS.

4.       quelles sont les références juridiques pour les pc ?

Il n’existe pas à l’heure actuelle de normes juridiques applicables en France à la rédaction d’une Politique de Certification. Le premier contexte de mise en œuvre de la certification électronique sera sans contexte la signature électronique. Pourtant les textes qui régulent la signature ne mentionne pas la PC, ce sont :

-          la Directive 1999/93/ce du parlement européen et du conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques

-          et la Loi n°2000-230 du 13 mars 20900 (JO 14 mars 2000 p. 3968)  portant adaptation du droit de la preuve aux technologies de l’information et relatif à la signature électronique

5.       Quel est le contenu d’une PC ?

La PC du MEFI peut être retenue pour donner une image de la structure utile d'une PC. Sa structure est la suivante :

• Présentation générale
• Dispositions de portée générale
• Identification et authentification : enregistrement initial, ré-géneration de clés, authentification d'une demande de révocation
• Besoins opérationnels : types de certificats éligibles, demande, acceptation et révocation de certificat, journalisation d'événements, archives, changement de clé d'une composante, récupération en cas de désastre ou de compromission, cessation d'activité d'une composante
• Contrôle de sécurité physique, contrôle des procédures : contrôle du personnel, contrôles physiques, contrôles des procédures
• Contrôles techniques de sécurité : génération et installation du bi-clé, protection de la clé privée, données d'activation, contrôles de sécurité des postes de travail, contrôles techniques du système durant son cycle de vie, contrôles de la sécurité réseau, contrôles de la gestion des modules cryptographiques
• Profils de certificats et de Liste de certificats révoqués
• Administration des spécifications : procédures de modification des spécifications, procédures de publication et de notification, procédures d'approbation des DPC              

6.       Quelles relations entre une PC et la création de l’ICP ?

Lorsqu’une communauté d’utilisateurs désire procéder à l’étude puis au montage d’une ICP par des prestataires extérieurs, un appel d’offres ou un marché est lancé.

Au cahier des charges du marché sera annexé la PC, décrivant les exigences prérequises des utilisateurs en matière de certificats pour des applications de signature, de chiffrement ou les deux. Le cahier des charges comprendra les éléments classiques de ce genre d’opération comme :

-          obligations des différentes composantes                          

-          responsabilités                  

-          responsabilités financières

-          respect et interprétation des lois

-          rémunération

-          contrôle de conformité

-          droits de propriété intellectuelle

7.       Quelles relations entre PC et la gestion de l’ICP ?

Un élément déterminant dans le procédé de signature électronique est le certificat électronique qui apporte des garanties sur la clé publique du signataire. Dans le cadre d'une ICP ou dans une communauté d'utilisateurs, les besoins relatifs au certificat et à la certification sont décrits par une Politique de Certification.

Le certificat électronique n'est qu'un élément technique parmi d'autres dans un processus de signature. La Politique de Certificat est insuffisante pour organiser l'ensemble des éléments techniques concourant à la signature. D'autres éléments doivent être considérés et gérés selon les termes de la Directive, comme :

-          le caractère qualifié ou non du certificat,

-          la qualité d'accrédité ou de non des Prestataires de Service de Certification, sa qualité de référencé ou non référencé (téléprocédures - PC type du MEFI),

-          la nature avancée ou non de la signature,

-          la compatibilité des dispositifs de création de signature avec les dispositifs de vérification,

-          la création et la fourniture des données d'activation des dispositifs (terminologie de la PC du MEFI), leur présence dans une carte à puce .

Un document spécifique pour combler ces besoins sera une Politique de Signature qui pourra incorporer par référence la PC. La Politique de Signature peut se définir de la façon suivante : un ensemble de règles qu’un utilisateur mettra en œuvre pour la création de signature électronique, au sens de la Directive 1999/93/ce du parlement européen et du conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques.

Si l'ICP est une structure complète de gestion de la sécurité, d'autres besoins pourraient être pris en charge :

-          le chiffrement pour confidentialité des messages électroniques peut également recourir à un ensemble clé privé/clé publique et donc, à un certificat, avec les conséquences indiquées ci-dessus ;

-          L'horodatage fait intervenir des Tiers Horodateurs (Time Stamping Authority, protocole développé par l'IETF) et comporter l'utilisation de jeton temporel de format X.509. Une politique spécialisée devra être rédigée

-          Enfin, si on procède à l'archivage des messages électroniques signés soit localement soit chez un archiveur distant, il faudra en décrire la pratique et les protocoles, d’où le recours à une Politique d'archivage.

En se limitant à la signature électronique et au chiffrement, les différents instruments nécessaires dans une ICP sont les suivants :

Naturellement selon les cas ou les configurations, certains de ces documents pourront être fusionnés.

8. Quelles relations entre PC et signature électronique ?

Lorsque la PC fixe les règles de gestion des certificats dans un contexte de signature électronique, l’annexe 1 de la Directive signature électronique impose des exigences supplémentaires. La Directive définit le certificat ainsi :

«certificat», une attestation électronique qui lie des données afférentes à la vérification de signature à une personne et confirme l'identité de cette personne ;

Par contre, les effets juridiques de la signature électronique seront obtenus, en autres conditions, grâce à des certificats « qualifiés ». La qualification s’entend d’exigences couvrant le contenu des certificats  et la pratique des PSC. Tout certificat qualifié doit comporter des mentions précises, énumérées par l'annexe II  (?) de la Directive et reprises par l"article N du projet de décret.

9. Qu'est-ce-que la pc du mINefi ?

Le Ministère de l'Economie, des Finances et de l'Industrie a publié un "Politique de certification-type". Le texte public est daté du 5 mai 1999 dans sa version 5. Il comporte 47 pages organisées en 8 chapitres et 4 annexes. Cette Politique a été rédigée à partir d'un guide spécialisé intitulé "Procédures et Politiques de Certification de Clés" (ou PC²) de la Commission Interministérielle pour la Sécurité des Systèmes d'Informations (CISSI). Pour différencier ce document des autres instruments connexes, il est précisé que la PC établit ce à quoi il faut se conformer lors de la gestion des certificats concernés, alors que la déclaration relative aux procédures de certification (appelé habituellement CPS) décrit comment ces exigences sont atteintes dans la pratique. Le document a fait l’objet d’une mise à jour publiée en janvier 2000.

La finalité de ce document est d’ébaucher une Infrastructure à Clés Publiques (ICP) pour le traitement des téléprocédures sur Internet (sous S/MIME pour la messagerie électronique et SSL ou TLS pour le Web). Cette ICP sera construite autour des Tiers Certificateurs pour les traitements des signatures électroniques. Les déclarants des téléprocédures se feront préalablement connaître par une autorité d'enregistrement. Les déclarants pourront choisir de chiffrer leur message, ce qui explique que l'ICP peut comprendre des Tiers de séquestre.

10. Qu'est-ce-qu'un CPS (DPC) ?

Le « Guide pour la préparation de politiques de certificat (PC) et d’énoncés des pratiques de certification (EPC) » version 2.0. du Gouvernement du Québec déclare : « Un énoncé des pratiques de certification (EPC) » est une déclaration des pratiques suivies par les gestionnaires d’une Autorité de Certification pour émettre des certificats. Il décrit en détail les processus que les gestionnaires entendent suivre pour répondre aux exigences sous lesquels ils émettent des certificats »

Sur ce point, la PC s’oppose à un instrument établi par le PSC, ci-dessus nommé DPC ou CPS en anglais. Le "Certification Practice Statement (CPS) est une création du Comité ISC de l'American Bar Association. Dans les Lignes Directrices pour la Signature Digitale de l'ABA, le CPS est décrit comme :"A statement of the practices which a certification authority employs in issuing certificates".

Le CPS de chaque PSC doit satisfaire à une ou plusieurs Politique de Certificat. Le CPS est validé dans le cadre du contrat que le Tiers passe avec ses clients.

Le CPS est traduit et adapté en français métropolitain par l’expression « Déclaration des Pratiques de Certification ». Le document « Procédures et politiques de certification de clés » (ou PC 2)  du SCSSI qui a servi de guide de rédaction à la PC Type du MEFI le définit ainsi :

Déclaration des Pratiques de Certification (DPC) : énoncé des procédures et pratiques effectivement respectées par une IGC pour la gestion des certificats.

11. Quelles relations entre CP et CPS (PC/DPC) ?

Au Québec où il est question « d’Enoncé des pratiques de certification » (EPC), le « Guide pour la préparation des PC et des EPC » version 2.0. du Gouvernement déclare : « Un énoncé des pratiques de certification (EPC) » est une déclaration des pratiques suivies par les gestionnaires d’une Autorité de Certification pour émettre des certificats. Il décrit en détail les processus que les gestionnaires entendent suivre pour répondre aux exigences sous lesquels ils émettent des certificats ».

On prendra donc garde à l’appellation inexacte de « Déclaration des PROCEDURES de Certification » qui suggère une fausse désignation du rédacteur. En réalité, il ne s’agit pas de « procédures » à la charge d’une ICP, mais de « pratiques » déclarées ou énoncées par un PSC.

La PC est établi par une entité  ou par une communauté d’utilisateurs. Il exprime l’objectif à atteindre, non la manière et la pratique.

Par contre, la PC prend place parmi les instruments documentaires par lesquelles l’Infrastructure à clés publiques gèrent les applications faisant appel à la certification électronique X.509 alors que la déclaration relative aux procédures de certification (DPC) décrit comment ces exigences sont atteintes dans la pratique. La gestion d’un certificat comprend toutes les phases du cycle de vie d’un certificat, de la demande d’attribution d’un certificat à la fin de vie de ce certificat (péremption, révocation).

Quelles garanties/responsabilités sont apportées par un PC. Exemple de la consultation d’une base de données avec un certificat émis par erreur (anomalie de fabrication du certificat) en tant que certificat de test. Les données fournies seront erronées (valeur d’une action) et une décision d’achat (passé par téléphone par ex.) déclenchée suite à la fourniture d’informations fausses fournies par l’emploi d’un certificat erroné.

12. Qui rédige PC et CPS ?

Dans le cas traditionnel, la PC se présente comme une sorte de cahier des charges de certification que le client propose aux fournisseurs potentiels, les Autorités de Certification ou "Pressiers de Services de Certification" selon l'appellation juridique (Directive européenne et loi française). Il y décrit ses besoins propres de certification, compte tenu du fait que ses besoins de certification trouvent place dans une application spécifique, traditionnellement de signature électronique, de chiffrement des messages pour confidentialité, voire d'horodatation sécurisée.

De leurs côtés, les AC du marché annoncent publiquement leur DPC (par exemple, Certplus sur www.certplus.com) . A noter qu'une AC peut rédiger une DPC spécifique aux demandes d'un client, ce qui correspond à ses réponses au "cahier des charges certification" de ce client. Le cas traditionnel est résumé de la façon suivante :

13. Quelle est la tendance de la pratique ?

La tendance actuelle résulte du fait que le concept d'ICP n'est pas suffisamment considéré et mis en place au niveau opérationnel. Les communautés d'utilisateurs visant assurer la sécurité technique, voire juridique, de leurs échanges électroniques laissent de côté le montage d'une ICP pour constituer en leur sein leur propre Autorité de Certification. Dans cette tendance, il va de soi que ces communautés ne disposent ni des ressources humaines ni techniques, d'assurer des fonctions de certification qui sont essentiellement de nature cryptographique. Elles recourent donc aux véritables sociétés techniques de certification du marché qu'elles considèrent comme des opérateurs (Opérateurs de Services de Certification, OSC). Aussi le schéma précédent se présente-t-il sous une nouvelle forme :

Dans cette tendance, l'OSC est le mandataire de l'AC pour les traitements de certification. La subordination des entités devient celle des documents : la DPC procède de la PC, comme le décret procède de la loi. La PC sera rédigée par les agents de l'AC qui s'adjoindront ceux de l'OSC pour décliner la PC en DPC.

Nov. 2000

IALTA / Commission des Etudes Prospectives (CEP)