Post on 06-Aug-2020
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Page 1 de 13
BIT-BTR-BFS-BFK 01.11.2017
Annexe 1 du Standard A006
Environnements supportés
Nom du projet: Annexe Standard A006
Numéro du projet:
Version: 1.8.0.5
Etat En élaboration En vérification Approuvé
Beteiligter Personenkreis
Auteur: Joye Pascal, BTR-BFS-BFK
Approbation: SG-PKI Board
Utilisateurs: ISB
Pour information: SG-PKI-Info, SG-PKI Engineering, SG-PKI Entwicklung
Suivi des modifications
Date Version Auteur Modification
12.10.2015 0.1 Kamel Dridi Initialversion
05.11.2015 0.2 Kamel Dridi Aktualisieren
21.12.2015 0.3 Kamel Dridi Neue Treiber-Version
22.01.2016 0.4 Pascal Joye 1. Review
04.03.2016 1.0 Pascal Joye Freigabe
16.09.2016 1.1 Pascal Joye Erweiterung der Kartenliste Liste , Treiber und Middleware, gemäss Auftrag vom ISB, Kartentyp klassifizieren
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 2 de 13
22.09.2016 1.2 Pascal Joye Merge Beilage 1 & 2
19.12.2016 1.3 Pascal Joye Anpassungen für die Tests des Release TerraNova 1.8, May 2017:
- Erweiterung OS Plattform
- Kartentyp reduzieren
- Kartenleser reduzieren
- Anwendung mit SecureCenter erweitern
02.03.2017 1.4 Pascal Joye Redéfinition des cas d’utilisation
03.03.2017 1.5 Pascal Joye Corrections
03.03.2017 1.6 Michael von Nie-derhäusern
Review
05.04.2017 1.7 Pascal Joye Modification du Middleware SAC 10.2.19.0 -> 10.3.25
18.07.2017 1.7.1 Pascal Joye Intégration des certificats qualifiés (classe A) et du « cachet officiel » (en allemand : Amtssiegel)
18.08.2017 1.8 Pascal Joye Mise à jour versions Middleware :
SAC 10.3.25-> 10.4.26
CardOS_API 5.3.008 -> 5.4.9.77
06.10.2017 1.8.0.1 Pascal Joye Changement du nom « cachet officiel » en « certificat d’autorité »
Adaptation de la version “Windows 10 Pro Build 1607” en “Windows 10 Pro Build 1703”
06.10.2017 1.8.0.2 Pascal Joye Corrections après revue par Michael von Niederhäusern
10.10.2017 1.8.0.3 Pascal Joye Ajout de Acrobat Reader en tant que logiciel de signature
13.10.2017 1.8.0.4 Pascal Joye Ajout de Outlook 2016
01.11.2017 1.8.0.5 Pascal Joye Ajout des patches pour CardOS API 5.3
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 3 de 13
Contenu
1 But de l’annexe 1 du Standard A006 ..................................................................... 4
1.1 Mise à jour de l’annexe 1 du Standard A006 ........................................................................................ 4 1.2 Définitions .............................................................................................................................................. 4
2 Cas d’utilisation .................................................................................................... 5
2.1 Classe B (certificat avancé) .................................................................................................................... 5
PreStaged Smartcard, Administration fédérale (Type BV)..................................................................... 6
PreStaged Smartcard, hors de l’administration fédérale (Type nonBV) ................................................ 7
PreStaged Smartcard BAC (Type V) ........................................................................................................ 8
SafeNet, hors de l’administration fédérale............................................................................................. 9
ATOS, hors de l’administration fédérale............................................................................................... 10
2.2 Classe A, signature électronique qualifiée .......................................................................................... 11 2.3 Classe A, certificat d’autorités (all. Behördenzertifikat) ..................................................................... 12
3 Paquets d’installation ......................................................................................... 13
4 Déroulement des tests réalisés par l’OFIT ........................................................... 13
5 Rapports de tests ............................................................................................... 13
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 4 de 13
1 But de l’annexe 1 du Standard A006
Ce document décrit les différentes compositions de cartes, middleware, environnements de plateforme et
usage des certificats dans les applications standard.
Les tests sont effectués sur la seule base des cas définis dans ce document.
Seuls les certificats de classe A et B sont concernés par le standard A006.
1.1 Mise à jour de l’annexe 1 du Standard A006
L’annexe 1 du Standard A006 fait l’objet d’une mise à jour annuelle, sur la base du cycle de développement de
la suite logicielle de la SG-PKI, ainsi que les conditions du marché des cartes à puces.
Les producteurs de cartes Gemalto/SafeNet et ATOS délivrent les Middlewares compatibles avec les cartes ven-
dues.
La mise à jour du présent document est assurée par l’OFIT
1.2 Définitions
Terme Définition
Anglais : PreStaged Smartcard Français : carte prégénérée
Un carte prégénérée est une carte contenant 9 paires de clefs (une paire de clef = une clef privée et une clef publique associée). Ces clefs sont gé-nérées hors de la carte, dans un envirronnement sécurisé. Elles sont injec-tées dans la carte par un processus développé par SG-PKI.
La carte prégénérée est prête à recevoir des certificats de classe B.
L’importation du certificat sur la carte peut être réalisée par les outils sui-vants :
- Walk-In-Wizard - CMC (Certificate Management Console) - Smartcard Unseal - Certificate Renewal
- Key Recovery
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 5 de 13
2 Cas d’utilisation
2.1 Classe B (certificat avancé)
5 cas d’utilisation sont définis
Cas d’utilisation Description Prégénérée
PreStaged Smartcard, Administration fédérale Swiss Government Enhanced CA02 Certificat Classe B PreStaged (Type BV)
Exclusivement utilisé avec une adresse email = *.admin.ch
OUI
PreStaged Smartcard, hors de l’administra-tion fédérale Swiss Government Enhanced CA01 Certificat Classe B PreStaged (Type nonBV)
Ce produit est utilisé par une organisation dont les adresses email ne sont pas *.admin.ch (p.ex.
Publica, METAS, BAKOM).
Ce cas est aussi valide pour les cantons, com-munes et institutions qui souhaitent utiliser
une carte prégénérée (pre-staged)
OUI
PreStaged Smartcard, BAC/DDPS Swiss Government Enhanced CA02 Certificat Classe B PreStaged (Type V)
La gestion est assurée par le Centre de Compé-tence PKI (CC-PKI) de la base d’aide au com-mandement (BAC) du département fédéral de la défense, de la protection de la population et des sports.
OUI
SafeNet, hors de l’administration fédérale Swiss Government Enhanced CA01
Certificat Classe B Standard
Utilisation par une organisation externe à l’ad-ministration fédérale (p.ex. canton, commune, institution privée, etc.) qui ne veulent pas de carte prégénérées et un produit SafeNet.
Middleware: SafeNet Authentication Client
NON
ATOS, hors de l’administration fédérale Swiss Government Enhanced CA01 Certificat Classe B Standard
Utilisation par une organisation externe à l’ad-ministration fédérale (p.ex. canton, commune, institution privée, etc.) qui ne veulent pas des cartes prégénérées et un produit ATOS. Middleware : CardOS API
NON
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 6 de 13
PreStaged Smartcard, Administration fédérale (Type BV)
Elément Description Version
Puce Gemalto IDPrime MD 830 Rev. B, prégénérée PIN alphanumérique & numérique
Selon profil décrit par Armasuisse
Middleware Safenet Authentication Client, DLL : eTPKCS11.dll
Minidriver DLL : axaltocm.dll
10.4.26
8.5.0.6
Plateforme Poste de bureautique standard de l’administration fédérale Microsoft Windows
Cf. A029
Lecteur HID Global Omnikey 3121 USB Card Reader avec le pilote de HID Global
R1.2.24.27
Autorité de certification Swiss Government Enhanced CA 02
Logiciels testés
Gestion du certificat SG-PKI Toolbox v. 1.8.0.x
Applications d’authentification Ouverture de session Windows avec authentification à 2 fac-teurs
SAP avec Ultralogon et Secude
Portail SSO du CSI-DFJP
Applications de signature Signature de messages et validation de signature
Open eGov LocalSigner
Adobe Acrobat Reader
Outlook 2013 & 2016
3.2.4
DC 2015.006.30355
Applications de chiffrement Chiffrement de la messagerie avec S/MIME
Armasuisse SecureCenter
Outlook 2013 & 2016
3.1.1
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 7 de 13
PreStaged Smartcard, hors de l’administration fédérale (Type nonBV)
Elément Description Version
Puce Gemalto IDPrime MD 830 Rev. B, prégénérée PIN alphanumérique & numérique
Selon profil décrit par Armasuisse
Middleware Safenet Authentication Client, DLL : eTPKCS11.dll
Minidriver DLL : axaltocm.dll
10.4.26
8.5.0.6
Plateforme Microsoft Windows 7 SP1 x32 7 SP1 x64 10 Build 1703, x64
Lecteur HID Global Omnikey 3121 USB Card Reader avec le pilote de HID Global
R1.2.24.27
Autorité de certification Swiss Government Enhanced CA 01
Logiciels testés
Gestion du certificat SG-PKI Toolbox v. 1.8.0.x
Applications d’authentification Portail SSO du CSI-DFJP
Applications de signature Non défini
Applications de chiffrement Non défini
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 8 de 13
PreStaged Smartcard BAC (Type V)
Elément Description Version
Puce Gemalto IDPrime MD 830 Rev. B, prégénérée PIN numérique seulement
Selon profil décrit par Armasuisse
Middleware Safenet Authentication Client, DLL : eTPKCS11.dll
Minidriver DLL : axaltocm.dll
10.4.26
8.5.0.6
Plateforme Microsoft Windows 7 SP1 x32 7 SP1 x64
Lecteur HID Global Omnikey 3121 USB Card Reader avec le pilote de HID Global
R1.2.24.27
Autorité de certification Swiss Government Enhanced CA 02
Logiciels testés
Gestion du certificat SG-PKI Toolbox
SG-PKI SCMS
v. 1.8.0.x
v. 1.8.0.x
Applications d’authentification Non défini
Applications de signature Non défini
Applications de chiffrement Non défini
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 9 de 13
SafeNet, hors de l’administration fédérale
Elément Description Version
Puce SafeNet eToken 5110 (Forme USB Stick) FIPS 140-2 level 3
Middleware Safenet Authentication Client, DLL : eTPKCS11.dll
Minidriver DLL : axaltocm.dll
10.4.26
8.5.0.6
Plateforme Microsoft Windows 7 SP1 x32 7 SP1 x64 10 Build 1703, x64
Lecteur HID Global Omnikey 3121 USB Card Reader avec le pilote de HID Global
R1.2.24.27
Autorité de certification Swiss Government Enhanced CA 01
Logiciels testés
Gestion du certificat SG-PKI Toolbox v. 1.8.0.x
Applications d’authentification Portail SSO du CSI-DFJP
Applications de signature Non défini
Applications de chiffrement Non défini
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 10 de 13
ATOS, hors de l’administration fédérale
Elément Description Version
Puce ATOS CardOS 5.3
Middleware ATOS CardOS_API 5.3 Build 008 avec patches :
SCS00000411
SCS00000425
SCS457
SCS462 SCS464
SCS703
SCS814
Plateforme Microsoft Windows 7 SP1 x32 7 SP1 x64 10 Build 1703, x64
Lecteur HID Global Omnikey 3121 USB Card Reader avec le pilote de HID Global
R1.2.24.27
Autorité de certification Swiss Government Enhanced CA 01
Logiciels testés
Gestion du certificat SG-PKI Toolbox v. 1.8.0.x
Applications d’authentifica-tion
Portail SSO du CSI-DFJP
Applications de signature Non défini
Applications de chiffrement Non défini
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 11 de 13
2.2 Classe A, signature électronique qualifiée
Elément Description Version
Puce Gemalto IDPrime MD 840 Rev. B Une paire de clefs générées localement
Conforme aux pres-criptions techniques et administrative OFCOM 943.032.1
EAL 5+
Middleware Safenet Authentication Client, DLL : eTPKCS11.dll
Minidriver DLL : axaltocm.dll
10.4.26
8.5.0.6
Plateforme Poste de travail standard de la Confédération Microsoft Windows
7 SP1 x32 7 SP1 x64 10 Build 1703, x64
Lecteur HID Global Omnikey 3121 USB Card Reader avec le pilote de HID Global
R1.2.24.27
Autorité de certification Swiss Government Qualified CA 01
Logiciels testés
Gestion du certificat SG-PKI Toolbox v. 1.8.0.x
Applications de signature Open eGov LocalSigner
Adobe Acrobat Reader
3.2.4
DC 2015.006.30355
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 12 de 13
2.3 Classe A, certificat d’autorités (all. Behördenzertifikat)
Elément Description Version
Puce Gemalto IDPrime MD 840 Rev. B Une paire de clefs générées localement
Conforme aux pres-criptions techniques et administrative OFCOM 943.032.1
EAL 5+
Middleware Safenet Authentication Client, DLL : eTPKCS11.dll
Minidriver DLL : axaltocm.dll
10.4.26
8.5.0.6
Plateforme Poste de travail standard de la Confédération Microsoft Windows
7 SP1 x32 7 SP1 x64 10 Build 1703, x64
Lecteur HID Global Omnikey 3121 USB Card Reader avec le pilote de HID Global
R1.2.24.27
Autorité de certification Swiss Government Qualified CA 01
Logiciels testés
Gestion du certificat SG-PKI Toolbox v. 1.8.0.x
Applications de signature Open eGov LocalSigner
Adobe Acrobat Reader
3.2.4
DC 2015.006.30355
Département fédéral des finances DFF
Office fédéral de l'informatique et de la télécommunication OFIT
Exploitation
Exploitation des services frontaux
Service & Design PKI
Annexe 1 du Standard A006, Environnements supportés Page 13 de 13
3 Paquets d’installation
Les différents logiciels et middleware nécessaires à l’administatration et l’utilisation des certificats sont distri-
bués et configurés sous la responsabilité des unités d’organisation utilisant les certificats.
Sur demande de BIT-ETR-BFS-BFA (OFIT Services Frontaux, Exploitation de la place de travail), la SG-PKI Toolbox
est distribuée sur les postes clients BAB par l’intermédiaire du service compétent BIT-ETR-PAL-REM (OFIT – In-
génierie et transition – Architecture de platforme – Gestion des versions).
La même Toolbox est disponible dans l’espace client du site Internet www.pki.admin.ch sous forme de paquets
MSI à disposition des unités d’organisation dont les PCs ne sont pas gérés par l’OFIT.
Le Middleware SAC SafeNet Authentication Client est fourni par Gemalto avec un outil de paramétrisation. Le
SG-PKI Board approuve les configurations adaptées aux directives W002 concernant la sécurité informatique
dans l'administration fédérale.
4 Déroulement des tests réalisés par l’OFIT
Dans le cadre des Release de la suite logicielle de la SG-PKI, les tests sont réalisés pour garantir l’utilisation des
cartes et certificats conformément au présent document.
Les certificats sont générés sur une station LRA et dans le cadre de l’environnement SCMS.
La gestion des certificats et des cartes (PIN Reset, Smartcard Unseal, Certificate Renewal et Key Recovery) est
testée sur les postes clients BAB. Il en est de même pour l’utilisation des certificats avec les applications stan-
dard indiquées dans les cas d’utilisation.
5 Rapports de tests
Les résultats des tests ne sont pas publiés. Ils sont le sujet de l’annexe 3 du standard A006.
Ils sont conservés en interne auprès de l’OFIT, SG-PKI Service & Design