IGC/A - ANSSI · PDF file 2018. 11. 30. · IGC/A Politique de certification version...

Click here to load reader

  • date post

    28-Jan-2021
  • Category

    Documents

  • view

    1
  • download

    0

Embed Size (px)

Transcript of IGC/A - ANSSI · PDF file 2018. 11. 30. · IGC/A Politique de certification version...

  • Version : 2.2

    Référence : OID : 1.2.250.1.223.1.1.2

    Nombre de pages : 90

    IGC/A

    POLITIQUE DE CERTIFICATION CONCERNANT

    LES AUTORITES DE CERTIFICATION RACINES GOUVERNEMENTALES

  • IGC/A Politique de certification version 1

    Page 2 sur 90

  • IGC/A Politique de certification version 1

    Page 3 sur 90

    Historique des modifications

    Version Date Objet de la modification Statut

    0.1 05/07/01 Création du document. Ébauche.

    1.1 16/07/02 OID officiel : 1.2.250.1.121.1.1.1 Validé.

    1.1 révision A 20/04/07

    Première révision du document :

     intégration des préconisations issues de l’analyse juridique de la PC, principalement sur la définition des acteurs de l’IGC/A et la précision de leurs fonctions et responsabilités ;

     correction des variables de temps ;

     correction des formats de certificats et LAR ;

     renvoi de l’annexe sur les rôles dans la DPC ;

     précisions sur l’enregistrement ;

     remise en forme.

    (Cette révision n’intègre pas d’informations complémentaires concernant la publication de listes de certificats révoqués).

    OID officiel : 1.2.250.1.121.1.1.1

    Validé par

    P. Pailloux, directeur central de la sécurité des systèmes d’information.

    Le 20/04/2007

    2.0  05/04/08

    Révision majeure du document intégrant :

     la fonction de révocation ;

     la présentation de la nouvelle organisation des services de l'IGC/A ;

     la précision des gabarits de certificats ;

     la présentation suivant le plan du standard RFC3647.

    Version pilote.

    2.0 20/11/08

    Ajout des différents types d’autorités administratives, en conformité avec l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

    OID officiel : 1.2.250.1.121.1.1.2

    Validé par

    P. Pailloux, directeur central de la sécurité des systèmes d’information.

    Le 20/11/2008

    2.1 18/08/2011

    Modification du gabarit de certificat électronique. Prise en compte des textes relatifs au [RGS]. Mise à jour des acronymes.

    OID officiel : 1.2.250.1.223.1.1.2

    Validée par

    P. Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information.

    Le 24/08/2011

    2.2 19/01/2015 Modification concernant les exigences d’audit des AC filles gouvernementales et certificats feuilles.

    Validé par

    G. Poupard, directeur général de l’Agence

  • IGC/A Politique de certification version 1

    Page 4 sur 90

    nationale de la sécurité des systèmes d’information.

    Le 02/02/2015

  • IGC/A Politique de certification version 1

    Page 5 sur 90

    Sommaire

    Historique des modifications 3

    Sommaire 5

    1 INTRODUCTION 12

    1.1 Définitions et acronymes ...................................................................................................... 12

    1.1.1 Définitions ................................................................................................................ 12

    1.1.2 Acronymes .............................................................................................................. 14

    1.2 Présentation générale .......................................................................................................... 15

    1.3 Identification de la PC .......................................................................................................... 16

    1.4 Acteurs et utilisateurs concernés par l’IGC/A....................................................................... 16

    1.4.1 Les autorités de l’IGC/A .......................................................................................... 16

    1.4.2 Les autres acteurs de l’ANSSI intervenant dans l’IGC/A ........................................ 17

    1.4.3 Les acteurs externes à l’ANSSI intervenant dans l’IGC/A ...................................... 17

    1.4.4 Les porteurs de certificats délivrés par l’IGC/A ....................................................... 19

    1.4.5 Les utilisateurs des certificats de l’IGC/A ................................................................ 19

    1.5 Usage des certificats ............................................................................................................ 19

    1.5.1 Domaine d’utilisation applicable .............................................................................. 19

    1.5.2 Limites de responsabilité ......................................................................................... 20

    1.6 Gestion de la PC .................................................................................................................. 20

    1.6.1 Entité gérant la PC .................................................................................................. 20

    1.6.2 Point de contact ...................................................................................................... 21

    1.6.3 Entité déterminant la conformité du corpus documentaire de l’IGC ....................... 21

    1.6.4 Procédures d’approbation de la conformité du corpus documentaire de l’IGC ...... 21

    2 Responsabilités concernant la mise à disposition des informations devant être publiées 22

    2.1 Entités chargées de la mise à disposition des informations ................................................ 22

    2.2 Informations devant être publiées ........................................................................................ 22

    2.3 Délais et fréquences de publication ..................................................................................... 23

    2.4 Contrôle d’accès aux informations publiées......................................................................... 23

    3 Identification et authentification 24

    3.1 Nommage ............................................................................................................................. 24

    3.1.1 Convention de noms ............................................................................................... 24

    3.1.2 Utilisation de noms explicites .................................................................................. 24

    3.1.3 Anonymisation ou pseudo-anonymisation des porteurs ......................................... 24

    3.1.4 Règles d’interprétation des différentes formes de nom .......................................... 24

    3.1.5 Unicité des noms ..................................................................................................... 24

    3.1.6 Identification, authentification et rôle des marques déposées ................................ 25

    3.2 Validation initiale de l’identité ............................................................................................... 25

    3.2.1 Méthode pour prouver la possession de la clé privée ............................................ 25

    3.2.2 Validation de l’identité de l’autorité administrative (AA) .......................................... 25

    3.2.3 Validation de l’identité de l’autorité de certification racine ...................................... 25

  • 3.2.4 Validation de l’identité du demandeur, du mandataire ou d’un témoin ................... 26

    3.2.5 Informations non vérifiées de l’ACR porteuse du certificat ..................................... 26

    3.2.6 Validation de l’autorité du demandeur .................................................................... 26

    3.2.7 Critères d’interopérabilité ........................................................................................ 26

    3.3 Identification et validation d’une demande de renouvellement d’une bi-clé ......................... 26

    3.4 Identification et validation d’une demande de révocation .................................................... 26

    4 Exigences opérationnelles sur le cycle de vie des certificats 28

    4.1 Demande de certificat .......................................................................................................... 28

    4.1.1 Origine d’une demande ........................................................................................... 28

    4.1.2 Processus et responsabilités pour l’établissement d’une demande de certificat ................................................................................................................... 28

    4.2 Traitement d’une demande .................................................................................................. 29

    4.2.1 Exécution des processus d’identification et de validation de la demande .............. 29

    4.2.2 Acceptation ou rejet de la demande ....................................................................... 29

    4.2.3 Délai de traitement de la demande de certification ................................................. 30

    4.3 Délivrance du certificat ......................................................................................................... 30

    4.3.1 Actions de l’