Annexe 1 du Standard A006 - Environnements supportés...Applications de signature Signature de messages et validation de signature Open eGov LocalSigner Adobe Acrobat Reader Outlook

Département fédéral des finances DFF

Office fédéral de l'informatique et de la télécommunication OFIT

Exploitation

Exploitation des services frontaux

Service & Design PKI

Page 1 de 13

BIT-BTR-BFS-BFK 01.11.2017

Annexe 1 du Standard A006

Environnements supportés

Nom du projet: Annexe Standard A006

Numéro du projet:

Version: 1.8.0.5

Etat En élaboration En vérification Approuvé

Beteiligter Personenkreis

Auteur: Joye Pascal, BTR-BFS-BFK

Approbation: SG-PKI Board

Utilisateurs: ISB

Pour information: SG-PKI-Info, SG-PKI Engineering, SG-PKI Entwicklung

Suivi des modifications

Date Version Auteur Modification

12.10.2015 0.1 Kamel Dridi Initialversion

05.11.2015 0.2 Kamel Dridi Aktualisieren

21.12.2015 0.3 Kamel Dridi Neue Treiber-Version

22.01.2016 0.4 Pascal Joye 1. Review

04.03.2016 1.0 Pascal Joye Freigabe

16.09.2016 1.1 Pascal Joye Erweiterung der Kartenliste Liste , Treiber und Middleware, gemäss Auftrag vom ISB, Kartentyp klassifizieren



Exploitation



Annexe 1 du Standard A006, Environnements supportés Page 2 de 13

22.09.2016 1.2 Pascal Joye Merge Beilage 1 & 2

19.12.2016 1.3 Pascal Joye Anpassungen für die Tests des Release TerraNova 1.8, May 2017:

- Erweiterung OS Plattform

- Kartentyp reduzieren

- Kartenleser reduzieren

- Anwendung mit SecureCenter erweitern

02.03.2017 1.4 Pascal Joye Redéfinition des cas d’utilisation

03.03.2017 1.5 Pascal Joye Corrections

03.03.2017 1.6 Michael von Nie-derhäusern

Review

05.04.2017 1.7 Pascal Joye Modification du Middleware SAC 10.2.19.0 -> 10.3.25

18.07.2017 1.7.1 Pascal Joye Intégration des certificats qualifiés (classe A) et du « cachet officiel » (en allemand : Amtssiegel)

18.08.2017 1.8 Pascal Joye Mise à jour versions Middleware :

SAC 10.3.25-> 10.4.26

CardOS_API 5.3.008 -> 5.4.9.77

06.10.2017 1.8.0.1 Pascal Joye Changement du nom « cachet officiel » en « certificat d’autorité »

Adaptation de la version “Windows 10 Pro Build 1607” en “Windows 10 Pro Build 1703”

06.10.2017 1.8.0.2 Pascal Joye Corrections après revue par Michael von Niederhäusern

10.10.2017 1.8.0.3 Pascal Joye Ajout de Acrobat Reader en tant que logiciel de signature

13.10.2017 1.8.0.4 Pascal Joye Ajout de Outlook 2016

01.11.2017 1.8.0.5 Pascal Joye Ajout des patches pour CardOS API 5.3



Exploitation




Contenu

1 But de l’annexe 1 du Standard A006 ..................................................................... 4

1.1 Mise à jour de l’annexe 1 du Standard A006 ........................................................................................ 4 1.2 Définitions .............................................................................................................................................. 4

2 Cas d’utilisation .................................................................................................... 5

2.1 Classe B (certificat avancé) .................................................................................................................... 5

PreStaged Smartcard, Administration fédérale (Type BV)..................................................................... 6

PreStaged Smartcard, hors de l’administration fédérale (Type nonBV) ................................................ 7

PreStaged Smartcard BAC (Type V) ........................................................................................................ 8

SafeNet, hors de l’administration fédérale............................................................................................. 9

ATOS, hors de l’administration fédérale............................................................................................... 10

2.2 Classe A, signature électronique qualifiée .......................................................................................... 11 2.3 Classe A, certificat d’autorités (all. Behördenzertifikat) ..................................................................... 12

3 Paquets d’installation ......................................................................................... 13

4 Déroulement des tests réalisés par l’OFIT ........................................................... 13

5 Rapports de tests ............................................................................................... 13



Exploitation




1 But de l’annexe 1 du Standard A006

Ce document décrit les différentes compositions de cartes, middleware, environnements de plateforme et

usage des certificats dans les applications standard.

Les tests sont effectués sur la seule base des cas définis dans ce document.

Seuls les certificats de classe A et B sont concernés par le standard A006.

1.1 Mise à jour de l’annexe 1 du Standard A006

L’annexe 1 du Standard A006 fait l’objet d’une mise à jour annuelle, sur la base du cycle de développement de

la suite logicielle de la SG-PKI, ainsi que les conditions du marché des cartes à puces.

Les producteurs de cartes Gemalto/SafeNet et ATOS délivrent les Middlewares compatibles avec les cartes ven-

dues.

La mise à jour du présent document est assurée par l’OFIT

1.2 Définitions

Terme Définition

Anglais : PreStaged Smartcard Français : carte prégénérée

Un carte prégénérée est une carte contenant 9 paires de clefs (une paire de clef = une clef privée et une clef publique associée). Ces clefs sont gé-nérées hors de la carte, dans un envirronnement sécurisé. Elles sont injec-tées dans la carte par un processus développé par SG-PKI.

La carte prégénérée est prête à recevoir des certificats de classe B.

L’importation du certificat sur la carte peut être réalisée par les outils sui-vants :

- Walk-In-Wizard - CMC (Certificate Management Console) - Smartcard Unseal - Certificate Renewal

- Key Recovery



Exploitation




2 Cas d’utilisation

2.1 Classe B (certificat avancé)

5 cas d’utilisation sont définis

Cas d’utilisation Description Prégénérée

PreStaged Smartcard, Administration fédérale Swiss Government Enhanced CA02 Certificat Classe B PreStaged (Type BV)

Exclusivement utilisé avec une adresse email = *.admin.ch

OUI

PreStaged Smartcard, hors de l’administra-tion fédérale Swiss Government Enhanced CA01 Certificat Classe B PreStaged (Type nonBV)

Ce produit est utilisé par une organisation dont les adresses email ne sont pas *.admin.ch (p.ex.

Publica, METAS, BAKOM).

Ce cas est aussi valide pour les cantons, com-munes et institutions qui souhaitent utiliser

une carte prégénérée (pre-staged)

OUI

PreStaged Smartcard, BAC/DDPS Swiss Government Enhanced CA02 Certificat Classe B PreStaged (Type V)

La gestion est assurée par le Centre de Compé-tence PKI (CC-PKI) de la base d’aide au com-mandement (BAC) du département fédéral de la défense, de la protection de la population et des sports.

OUI

SafeNet, hors de l’administration fédérale Swiss Government Enhanced CA01

Certificat Classe B Standard

Utilisation par une organisation externe à l’ad-ministration fédérale (p.ex. canton, commune, institution privée, etc.) qui ne veulent pas de carte prégénérées et un produit SafeNet.

Middleware: SafeNet Authentication Client

NON

ATOS, hors de l’administration fédérale Swiss Government Enhanced CA01 Certificat Classe B Standard

Utilisation par une organisation externe à l’ad-ministration fédérale (p.ex. canton, commune, institution privée, etc.) qui ne veulent pas des cartes prégénérées et un produit ATOS. Middleware : CardOS API

NON



Exploitation




PreStaged Smartcard, Administration fédérale (Type BV)

Elément Description Version

Puce Gemalto IDPrime MD 830 Rev. B, prégénérée PIN alphanumérique & numérique

Selon profil décrit par Armasuisse

Middleware Safenet Authentication Client, DLL : eTPKCS11.dll

Minidriver DLL : axaltocm.dll

10.4.26

8.5.0.6

Plateforme Poste de bureautique standard de l’administration fédérale Microsoft Windows

Cf. A029

Lecteur HID Global Omnikey 3121 USB Card Reader avec le pilote de HID Global

R1.2.24.27

Autorité de certification Swiss Government Enhanced CA 02

Logiciels testés

Gestion du certificat SG-PKI Toolbox v. 1.8.0.x

Applications d’authentification Ouverture de session Windows avec authentification à 2 fac-teurs

SAP avec Ultralogon et Secude

Portail SSO du CSI-DFJP

Applications de signature Signature de messages et validation de signature

Open eGov LocalSigner

Adobe Acrobat Reader

Outlook 2013 & 2016

3.2.4

DC 2015.006.30355

Applications de chiffrement Chiffrement de la messagerie avec S/MIME

Armasuisse SecureCenter

Outlook 2013 & 2016

3.1.1



Exploitation




PreStaged Smartcard, hors de l’administration fédérale (Type nonBV)


Puce Gemalto IDPrime MD 830 Rev. B, prégénérée PIN alphanumérique & numérique




10.4.26

8.5.0.6

Plateforme Microsoft Windows 7 SP1 x32 7 SP1 x64 10 Build 1703, x64


R1.2.24.27


Logiciels testés


Applications d’authentification Portail SSO du CSI-DFJP

Applications de signature Non défini

Applications de chiffrement Non défini



Exploitation




PreStaged Smartcard BAC (Type V)


Puce Gemalto IDPrime MD 830 Rev. B, prégénérée PIN numérique seulement




10.4.26

8.5.0.6

Plateforme Microsoft Windows 7 SP1 x32 7 SP1 x64


R1.2.24.27


Logiciels testés

Gestion du certificat SG-PKI Toolbox

SG-PKI SCMS

v. 1.8.0.x

v. 1.8.0.x

Applications d’authentification Non défini





Exploitation




SafeNet, hors de l’administration fédérale


Puce SafeNet eToken 5110 (Forme USB Stick) FIPS 140-2 level 3



10.4.26

8.5.0.6



R1.2.24.27


Logiciels testés


Applications d’authentification Portail SSO du CSI-DFJP





Exploitation




ATOS, hors de l’administration fédérale


Puce ATOS CardOS 5.3

Middleware ATOS CardOS_API 5.3 Build 008 avec patches :

SCS00000411

SCS00000425

SCS457

SCS462 SCS464

SCS703

SCS814



R1.2.24.27


Logiciels testés


Applications d’authentifica-tion

Portail SSO du CSI-DFJP





Exploitation




2.2 Classe A, signature électronique qualifiée


Puce Gemalto IDPrime MD 840 Rev. B Une paire de clefs générées localement

Conforme aux pres-criptions techniques et administrative OFCOM 943.032.1

EAL 5+



10.4.26

8.5.0.6

Plateforme Poste de travail standard de la Confédération Microsoft Windows

7 SP1 x32 7 SP1 x64 10 Build 1703, x64


R1.2.24.27

Autorité de certification Swiss Government Qualified CA 01

Logiciels testés


Applications de signature Open eGov LocalSigner


3.2.4

DC 2015.006.30355



Exploitation




2.3 Classe A, certificat d’autorités (all. Behördenzertifikat)


Puce Gemalto IDPrime MD 840 Rev. B Une paire de clefs générées localement

Conforme aux pres-criptions techniques et administrative OFCOM 943.032.1

EAL 5+



10.4.26

8.5.0.6

Plateforme Poste de travail standard de la Confédération Microsoft Windows

7 SP1 x32 7 SP1 x64 10 Build 1703, x64


R1.2.24.27

Autorité de certification Swiss Government Qualified CA 01

Logiciels testés


Applications de signature Open eGov LocalSigner


3.2.4

DC 2015.006.30355



Exploitation




3 Paquets d’installation

Les différents logiciels et middleware nécessaires à l’administatration et l’utilisation des certificats sont distri-

bués et configurés sous la responsabilité des unités d’organisation utilisant les certificats.

Sur demande de BIT-ETR-BFS-BFA (OFIT Services Frontaux, Exploitation de la place de travail), la SG-PKI Toolbox

est distribuée sur les postes clients BAB par l’intermédiaire du service compétent BIT-ETR-PAL-REM (OFIT – In-

génierie et transition – Architecture de platforme – Gestion des versions).

La même Toolbox est disponible dans l’espace client du site Internet www.pki.admin.ch sous forme de paquets

MSI à disposition des unités d’organisation dont les PCs ne sont pas gérés par l’OFIT.

Le Middleware SAC SafeNet Authentication Client est fourni par Gemalto avec un outil de paramétrisation. Le

SG-PKI Board approuve les configurations adaptées aux directives W002 concernant la sécurité informatique

dans l'administration fédérale.

4 Déroulement des tests réalisés par l’OFIT

Dans le cadre des Release de la suite logicielle de la SG-PKI, les tests sont réalisés pour garantir l’utilisation des

cartes et certificats conformément au présent document.

Les certificats sont générés sur une station LRA et dans le cadre de l’environnement SCMS.

La gestion des certificats et des cartes (PIN Reset, Smartcard Unseal, Certificate Renewal et Key Recovery) est

testée sur les postes clients BAB. Il en est de même pour l’utilisation des certificats avec les applications stan-

dard indiquées dans les cas d’utilisation.

5 Rapports de tests

Les résultats des tests ne sont pas publiés. Ils sont le sujet de l’annexe 3 du standard A006.

Ils sont conservés en interne auprès de l’OFIT, SG-PKI Service & Design

http://www.pki.admin.ch/

Documents

Annexe 1 du Standard A006 - Environnements supportés...Applications de signature Signature de messages et validation de signature Open eGov LocalSigner Adobe Acrobat Reader Outlook