La carte d'identité electronique (e id)

République Algérienne Démocratique et PopulaireRépublique Algérienne Démocratique et PopulaireRépublique Algérienne Démocratique et PopulaireRépublique Algérienne Démocratique et Populaire Ministère de l’Enseignement Supérieur et de la Recherche Scientifique

Université des Sciences et de la Technologie Houari BoumedieneUniversité des Sciences et de la Technologie Houari BoumedieneUniversité des Sciences et de la Technologie Houari BoumedieneUniversité des Sciences et de la Technologie Houari Boumediene

Faculté d’Electronique et d’Informatique

Mémoire de Master

Domaine Mathématiques et Informatique

Filière InformatiqueFilière InformatiqueFilière InformatiqueFilière Informatique

Spécialité Réseaux et Systèmes Distribués (RSD)

Thème

LA CARTE D’IDENTITÉ ÉLECTRONIQUE (eID)

Proposé par : Présenté par : MM.

Dr. A.BELKHIR OUADJAOUT Lamine ZERGOUG Salim

Devant le jury :

M. A.AISSANI Président Mme. N.HADDOUCHE Examinateur Mlle. L.ALIOUANE Examinateur

Projet n°. 55/10/RSD

Remerciements

Nous tenons à remercier nos familles respectives (nos chers parents,

frères, cousins, etc.) pour leurs soutien, conseils et aide indéfectible, ainsi

que tous nos amis (Mohamed, Brahim, Rachid, Abdelkader, Zaki, Halim,

Kamel, Sofiane, Meziane, Nabil et beaucoup d'autres) avec qui nous

avons partagé le bon et le moins bon, les hauts et les bas de notre cursus

universitaire.

Nous exprimons notre reconnaissance aux professeurs, et en premier

lieu à notre promoteur Dr. BELKHIR, qui nous ont apporté beaucoup de

connaissances dans ce vaste domaine des « Réseaux et Système

Distribués».

Nous voulons également exprimer notre profonde gratitude à Mr.

ZERROUR AKLI, Mr. Ali ABDI, Mr. Mehdi NEDDAF, Mr.

BENSALEH Mustapha, Mr. BENHAMOUDA Hocine, ainsi qu’a tous

ceux qui nous ont soutenus de prés ou de loin.

SOMMAIRE

Introduction générale -------------------------------------------------------------------------------------------- 1 CHAPITRE I – Etat de l’art ---------------------------------------------------------------------------------- 2 I.1 - Introduction ----------------------------------------------------------------------------------------------------- 3 I.2 – Carte d’identité électronique en Algérie ------------------------------------------------------------------ 3 I.3 – Norme de cartes d’identités électroniques ---------------------------------------------------------------- 3 I.4 – Outils d’une carte d’identité électronique ---------------------------------------------------------------- 6 I.5 - Conclusion ---------------------------------------------------------------------------------------------------- 11 CHAPITRE II – Signature électronique ---------------------------------------------------------------- 12

II.1 – Rappels et définitions ------------------------------------------------------------------------------------ 13 II.2 – Quelque normes et standards --------------------------------------------------------------------------- 15 II.3 – Principe de fonctionnement de la signature électronique ----------------------------------------- 17 II.4 – Cadre technologique et organisationnel de la signature électronique --------------------------- 18

II.5 – Types de signatures --------------------------------------------------------------------------------------- 26 II.6 – Cadre juridique de la signature électronique en Algérie ------------------------------------------- 28 II.7 - Conclusion -------------------------------------------------------------------------------------------------- 29 CHAPITRE III – Implémentation d’une carte d’identit é électronique -------------------- 30

III.1 – Introduction ----------------------------------------------------------------------------------------------- 31 III.2 – Création d’une autorité de certification -------------------------------------------------------------- 31 III.3 – Installation des SDK ------------------------------------------------------------------------------------- 36 III.4 – Réalisation d’une application DZeID ---------------------------------------------------------------- 37

III.5 – Introduction des lettres arabes ------------------------------------------------------------------------- 42 III.6 - Proposition d’un modèle de carte d’identité électronique Algérienne -------------------------- 48 III.7 - Conclusion ------------------------------------------------------------------------------------------------- 48 Conclusion générale -------------------------------------------------------------------------------------------- 49 Références bibliographiques -------------------------------------------------------------------------------- 50

1

Introduction générale

La communication électronique est devenue très importante ces dernières années. D’où le besoin de pouvoir identifier les personnes via un système électronique. La carte d’identité électronique: eID contient une puce électronique qui protège les données personnelles de manière optimale.

L’eID nous permet de régler de nombreuses questions administratives

depuis votre ordinateur. En outre, l’eID nous offre une foule d’autres possibilités: envoyer des documents électroniques et des e-mails recommandés, sécuriser les séances de chat des enfants, accéder au parc à conteneurs ou même vous identifier sur le réseau informatique de votre entreprise.

Pour l’implémentation d’une carte identité électronique on passe par

plusieurs étapes: � Création des autorité de certifications � Installation du SDK � Réalisation d'une application DZeID � Introduction des lettres arabes

Nous avons organisé notre travail de la manière suivante: � 1er Chapitre: Etat de l’art. � 2ème Chapitre: Signature électronique. � 3ème Chapitre: Implémentation d’une carte d’identité électronique.

1er Chapitre

Etat de l’art

1erChapitre Etat de l’art

3

1. Introduction: La carte d'identité électronique, appelée aussi «electronic IDentity» [eID 08], est un nouveau type de carte d'identité qui a vu le jour dans de nombreux pays, elle permet à l'utilisateur de posséder un moyen sûr pour accéder à de nombreuses applications d’institutions publiques ou privées et d’entreprises. L’eID est constituée d’une carte à puce contenant toutes les informations personnelles imprimées (sur la carte) tel que ; la photo du propriétaire, nom et prénom, sexe, nationalité, date et lieu de naissance, signature, période de validité, etc... .Mais aussi des informations électronique (se trouvant dans la puce) tel que : l’adresse, le statut spécial (handicapé mental, handicapé physique, etc.), un algorithme de type RSA (de 1024-bit) pour l'authentification, une infrastructure à clés publiques (Public key infrastructure, PKI) du type X.509, une photo sous norme [JPEG 99].

figure1.1: exemple d'une eID au royaume belge

2. La carte d'identité électronique en Algérie:

Dans le cadre des efforts de l'état algérien de mettre en place un gouvernement électronique, l'Algérie tente la numérisation de la carte d’identité nationale au cours de l’année 2011, on espère mettre en place cette CNIBE (Carte Nationale d’Identité Biométrique et Electronique) grâce à la complexité du système utilisé sous des codes de sécurité difficiles à décrypter. L’autre nouveauté de ce système inédit, réside dans le fait que désormais, le citoyen n’aura à fournir qu’un seul dossier dans sa vie. Ainsi la création d’un registre national de l’état civil avec l’institution d’un numéro d’identification national unique NIN (National Identity Number) pour chaque citoyen [MICL 09].

3. Normes de cartes d'identité électronique: Les cartes doivent être conformes a plusieurs standards réunis sous la norme [ISO/IEC 7816] ISO/IEC 7816 L’ISO/IEC 7816 fait partie d'une série de normes qui décrivent les paramètres des cartes d'identification, tels qu'ils sont définis dans l'ISO/IEC 7810, et l'utilisation de ces cartes pour les échanges internationaux. La présente partie de l'ISO/IEC 7816 spécifie directement ou par référence les éléments de données (DE), qui comprennent les DE composites, utilisés dans l'échange intersectoriel et basés sur les cartes à circuits intégrés (ICC). Elle identifie les caractéristiques ci-dessous de chaque DE :


4

• Identificateur ; • Nom ; • Description et référence ISO ; • Format et codage (s'il n'est pas disponible dans d'autres normes ISO ou dans les autres

parties de l'ISO/IEC 7816). La disposition de chaque DE est décrite telle qu'elle apparaît à l'interface entre le dispositif d'interface (IFD) et le ICC. La présente partie de l'ISO/IEC 7816 définit les moyens d'extraction des DE dans la carte (octets historiques, remise à zéro, commandes à exécuter et commandes définies dans cette norme internationale). La présente partie de l'ISO/IEC 7816 donne la définition des DE sans considération des restrictions faites sur l'utilisation des DE. Il est prévu d'incorporer de nouveaux objets de données intersectoriels dans la présente norme, de nombreuses révisions, rectificatifs techniques et amendements ont étés apportées à ce standard :

ISO/IEC 7816-6:2004 ISO/IEC 7816-6:2004/Cor 1:2006 ISO/IEC 7816-1:1998 ISO/IEC 7816-2:2007 ISO/IEC 7816-3:2006 ISO/IEC 7816-4:2005 ISO/IEC 7816-5:2004 ISO/IEC 7816-7:1999 ISO/IEC 7816-8:2004 ISO/IEC 7816-9:2004 ISO/IEC 7816-10:1999 ISO/IEC 7816-11:2004 ISO/IEC 7816-12:2005 ISO/IEC 7816-13:2007 ISO/IEC 7816-15:2004

L'ISO/IEC 7816 comprend des parties, présentées sous le titre général Cartes d’identification— Cartes à circuit(s) intégré(s) à contacts, voici ces parties:

� Partie 1: Caractéristiques physiques; Cette norme définit les caractéristiques physiques des cartes à puce : la géométrie, la résistance, les contacts, etc.

� Partie 2: Dimensions et emplacements des contacts; Cette norme spécifie le

dimensionnement physique (extérieur) des contacts de la puce. � Partie 3: Signaux électroniques et protocoles de transmission; Cette norme définit :

- les protocoles de transmission - la sélection d’un type de protocole, - la réponse à un reset qui correspond aux données envoyées par la carte

immédiatement après la mise sous tension, - les signaux électriques, tels que le voltage, la fréquence d’horloge et la vitesse

de communication. � Partie 4: Commandes intersectorielles pour les échanges; Cette norme vise à assurer

l’interopérabilité des échanges. Elle définit les messages APDU (Application Protocol Data Units), par lesquels les cartes à puce communiquent avec le lecteur. Les échanges s’effectuent en mode client-serveur, le terminal ayant toujours l’initiative de communication.

� Partie 5: Système de numérotation et procédure d’enregistrement d’identificateurs

d’applications; Définit le système de numérotation et les procédures d’enregistrement et d’attribution


5

des identifiants des applications. Un unique identifiant est associé à chaque application et à certains fichiers sur la carte. Ils sont représentés par des tableaux d’octets de taille allant de cinq à seize.

� Partie 6: Éléments de données intersectoriels; Cette norme spécifie des éléments de

données inter-industrie pour les échanges, tels que le numéro du porteur de carte, sa photo, sa langue, la date d’expiration, etc.

� Partie 7: Commandes intersectorielles pour langage d’interrogation de carte

structurée; Cette norme définit les commandes de langage d’interrogation de carte structurée via un langage spécifique SCQL (Structured Card Query Language).

� Partie 8: Commandes intersectorielles de sécurité; il spécifie les commandes utilisés

pour les opérations cryptographiques. Ces commandes sont complémentaires et basées sur des commandes répertoriées dans la norme 4.

� Partie 10: Signaux électroniques et réponse à la mise à zéro des cartes synchrones;

Cette partie spécifie les structures de signalisation, et la structure de la réponse entre une carte à circuit intégré (s) avec transmission synchrone et un dispositif d'interface tel qu'un terminal.

� Partie 11: Vérification personnelle par méthodes biométriques; il spécifie l'utilisation

des commandes interindustrielles et des objets de données personnelles liées à la vérification par des méthodes biométriques dans les cartes à circuits intégrés. Les commandes utilisées sont définies dans la norme ISO / CEI 7816-4. Cette partie est utilise pour des usages de vérification et de sécurité

� Partie 12: Cartes à contacts - Interface électrique USB et procédures de

fonctionnement; précise les conditions de fonctionnement d'une carte à circuit intégré, ce type de carte est nommé USB-CPI, elle définie : � Les conditions électriques afin d'exploiter l'interface USB-CPI. � Les descripteurs USB standard et le descripteur de la classe USB spécifiques; � Le transfert de données entre l'hôte � Les transferts de contrôle permettent l'utilisation de deux protocoles différents � Les transferts optionnels d'interruption pour indiquer des événements asynchrones � L'état et les conditions d'erreur

� Partie 13: Commandes pour la gestion d'application dans un environnement de

plusieurs applications;

� Partie 15: Application des informations cryptographiques; Cette partie spécifie les informations de chiffrement présentées sous format ASN.1 (Abstract Syntax Notation One) [ISO/IEC et ITU-T 84], elle supporte les fonctionnalités suivantes:

• le stockage de plusieurs instances d'information de cryptographie dans une carte; • l'utilisation des informations cryptographiques; • récupération des informations de chiffrement; • différents mécanismes d'authentification et plusieurs algorithmes de chiffrement.


6

4. Outils d’une carte d'identité électronique L’utilisation d'une carte d'identité électronique nécessite un certain nombre d'outils :

4.1. Les lecteurs de carte: Une carte à puce: faite en matière plastique, ou en papier ou en carton, de quelques centimètres de côté et moins d'un millimètre d'épaisseur, portant au moins un circuit intégré capable de contenir de l'information. Le circuit intégré (la puce) peut contenir un microprocesseur capable de traiter cette information, ou être limité à des circuits de mémoire non volatile et, éventuellement, un composant de sécurité (carte mémoire). Les cartes à puce fournissent des moyens d'effectuer des transactions d'une manière flexible, bloquée, standard avec une intervention humaine minimale.

Figure1.2: Carte à microcalculateur CP8 (Première carte à puce commercialisée)

4.2. Les lecteurs de carte: Un lecteur de carte est un petit appareil spécial permettant de relier la carte au PC. Le principal objectif de ce lecteur de carte est d’établir un canal de communication entre les programmes sur l’ordinateur et la puce de la carte d’identité, la plupart des nouveaux ordinateurs portables et des nouveaux claviers ont un lecteur de carte à puce intégré cependant il existe plusieurs types de cartes:

� Les lecteurs de cartes à puce simples: ils permettent

de lire les informations contenues sur la puce de la carte

d'identité électronique en introduisant le code PIN par le biais

d'un clavier de PC.

� Les lecteurs de cartes à puce avec PIN-pad: Améliorent

le niveau de sécurité en introduisant un code PIN encodé sur l'appareil

ne sort pas du lecteur et peut dès lors difficilement être intercepté par un

hacker. Deux modèles existent, dont un permet de lire uniquement les cartes

d’identité électroniques.

� lecteur de cartes pour ordinateur portable: Ce type de lecteurs

s’insèrent dans une fente PC-CARD (ou PCMCIA pour Personal

Computer Memory Card International Association), ils sont donc


7

totalement incorporés dans l’ordinateur.

Voici un tableau comparatif entre type de lecteurs:

Type de lecteur de cartes

Avantage Inconvenient

Lecteur simples - Compatible avec presque toutes les applications

- Le prix: Bon marché

- Le niveau de sécurité; code PIN peut être intercepte car il doit être entré via le clavier de PC

Lecteur avec PIN-pad

- Le niveau de sécurité: plus élevé qu'un lecteur simple car le code PIN ne sort pas de lecteur

- Facilité d’utilisation

- Facilité d’utilisation

- Certaines applications (entre autres Netscape et Mozilla) ne sont pas compatibles à 100%

- La plupart du temps uniquement sous Windows

- Certains modèles exigent des batteries et/ou une alimentation électrique séparée

Lecteur pour ordinateur portable

- Compatible avec presque toutes les applications

- Certaines marques proposent également des pilotes pour Linux

- Le prix: Un peu plus cher qu'un lecteur de cartes simple.

Tab1.1: Tableau comparatif des différents types de lecteurs de cartes

Les informations de la carte d'identité électronique sont privées, on doit garder leur confidentialité à tout prix, et pour cela on emploie la cryptographie afin de chiffrer ces informations et les rendre incompréhensibles.

4.3. La cryptographie: Le mot cryptographie vient du grec cryptos (signifiant "caché") et graphein (pour "écrire"), la cryptographie est l’art et la science qui vise à garder un secret visant à protéger un échange d’informations par un codage du message. Le général spartiate [BER] était le premier à utiliser la cryptographie depuis 400 ans avant notre ère, en se servant d'un bâton (appelé scytale).

Le Romain Jules César employait une substitution simple de lettres pour communiquer avec ses généraux.

Pour crypter (chiffrer, coder) un message on doit utiliser un algorithme de cryptographie qui contient quatre entités ; le plaintext ou texte en clair, la clé de chiffrage (ces deux entités sont utilise pour chiffrer le message), le cyphertext ou texte chiffre et la clé de déchiffrage

La carte d'identité électronique utilise un algorithme de cryptage asymétrique, plus précisément l'algorithme RSA (Rivest Shamir Adleman).

RSA est considère comme un algorithme de cryptage probablement assez sûr puisque il y a très certainement plus de risques liés à une mauvaise utilisation qu'à une attaque mais il faut toujours garder en esprit que le risque zéro en sécurité n'existe pas, comme pour la NSA (Naional Security Agency) le décryptage du RSA n'est qu'un jeu d'enfant!


8

4.4. Signature électronique: La signature électronique est un autre outil utilisé par les cartes d'identités électronique afin d'assurer l’authenticité et l’intégrité indépendamment de la cryptographie, la signature électronique fournit un nombre à partir d'un document en entrée et ce nombre doit être unique. S’il est impossible de garantir l’unicité de la signature, il est néanmoins possible de diminuer fortement la possibilité que deux documents produisent le même résultat, comme c’est le cas dans une fonction de hachage classique. Le titulaire d'une carte d'identité électronique dispose d'une signature électronique unique qui a la même valeur qu'une signature manuscrite.

La signature électronique sera traitée en détail dans le chapitre 2.

4.5. Certificat électronique: Un certificat électronique est un autre outil de sécurité qui vise la validation des clés publiques puisque rien ne garantit que la clé publique est bien celle de l'utilisateur à qui elle est associée. Une autorité de certification est chargée de délivrer les certificats et de leurs assigner une période de validité (date d'expiration), les eID utilisent un certificat d'authentification et un certificat de signature .Les certificats sont des petits fichiers composés de deux parties : Une partie contenant les informations et une deuxième partie contenant la signature de l'autorité de certification.

Les certificats sont normalisés par le standard X.509 de l'Union Internationale des Télécommunications [ITU 88], qui définit les informations contenues dans cette dernière comme suit :

• Version • Numéro de série • Nom du signataire du certificat • Validité (dates limite) • Nom du propriétaire du certificat • Informations sur la clé publique • Algorithme de chiffrement utilisé • Clé publique du propriétaire • Identifiant unique du signataire (optionnel, à partir de X.509 version 2) • Identifiant unique du détenteur du certificat (optionnel, à partir de X.509 version 2) • Extensions (optionnel, à partir de X.509 version 3)

Ces informations seront validées (signées) par une autorité de certification, par application d’une fonction de hachage pour ces informations. Le condensé résultant est chiffré à l'aide de la clé privé de l'autorité de certification. Le certificat peut être préalablement signée par une autorité de niveau supérieur. Donc pour communiquer avec une personne, il suffit qu'il possède le certificat du destinataire. Ce certificat contient le nom du récepteur ainsi que sa clé publique et est signé par l'autorité de certification et par la suite on peut vérifier la validité du message en appliquant d'une part la fonction de hachage aux informations contenues dans le certificat, en déchiffrant d'autre part la signature de l'autorité de certification avec la clé publique de cette


9

dernière et en comparant ces deux résultats.

Voici un une image qui illustre la signature du certificat :

figure1.3: Création et signature d’un certificat

4.6. Autorité de certification PKI (Public Key Infrastru cture) : Comme on l'avait cité précédemment une autorité de certification PKI vise à signer et valider un certificat numérique. Une autorité de certification PKI est composée de plusieurs entités, ces entités sont physiquement représentées par des serveurs WEB, par exemple sur UNIX ils sont de type Apache, sous Windows ils utilisent IIS. ces serveurs contiennent différents scripts CGI (Common Gateway Interface), qui permettent d’administrer, de gérer et d’archiver les certificats. Dans le cas de UNIX la génération proprement dite des certificats est assurée par l’OpenSSL, qui offre la puissance de calcul cryptographique de la PKI.

� Architecture de la PKI L'architecture PKI admet plusieurs entités qui sont: a) Un Serveur Public :

La connexion à ce serveur est sécurisée via l'utilisation du protocole SSL (Socket Secure layer) afin de garder les échanges de données confidentiels. Ce serveur est considéré comme l'interface entre l'architecture PKI et le client, par la suite elle lui permet la partie de transmettre des requêtes de certificats, mais également de recevoir toutes les informations fournies par la PKI c’est-à-dire :

• Recevoir un certificat de l’autorité de certification • Recevoir un certificat numérique sollicité • Recevoir une liste de révocation CRL (Certificate revocation List) • Consulter des certificats numériques de tous les clients b) Un Serveur RA (Registration Authority) :

Ce serveur utilise également SSL lors des échanges, et seulement un administrateur aura


10

l'accès à ce serveur RA après avoir être authentifié. Le serveur RA permet de recevoir les demandes de certificats CSR (Certificate Signing Request) émises par les clients. Ces requêtes seront émises à l’administrateur de la CA (Certificate Authority) en suivant un format standardisé PCKS#10, ce serveur permet aussi de publier les certificats signés par la CA. La publication est faite de deux façons :

• Soit publier des certificats sur le serveur public.

• Ou bien publier des certificats dans un annuaire LDAP (Lightweight Directory Access Protocol)

c) Serveur CA (Certificate Authority) :

Ce serveur est considéré comme une autorité de confiance, c’est lui le responsable de la création des certificats pour les utilisateurs, ces certificats contiennent entre autre le nom du demandeur Distinguished Name (DN), sa clé publique et une date d’expiration ainsi que la fonction du certificat. Enfin le certificat sera signée par la clé privée du CA, cette clé qui est considéré comme vital pour la sécurité de toute l'architecture PKI d'ou la nécessité d'isoler le serveur CA.

� Service de révocation CRL (Certificate revocation List) :

Un certificat numérique doit pouvoir être révoquée si un changement d’identité du propriétaire a lieu, ou si la clé privée de l’utilisateur est perdue ou divulguée on émet une demande de révocation et vérifier son authenticité. L’auteur de la demande est-il bien la personne titulaire de la clé publique? Une fois la vérification terminée, la liste des certificats révoqués est publiée. La révocation est un élément du service de publication.

L’accès aux listes de révocation peut être spécifié dans le certificat sous forme d’une URL. Les clients peuvent alors téléchargés la liste de révocation CRL. Mais étant donné que cette liste est générée périodiquement par la CA, son utilisation n’est pas optimale car les utilisateurs doivent mettre à jour constamment cette liste. De plus, si une CA met à jour sa liste CRL et révoque un certificat juste après, les utilisateurs ne verront cette modification qu’après la prochaine mise à jour de la liste, cette à dire le lendemain dans certain cas, cette politique n’est pas sans risque en terme de sécurité. Pour contrer cet inconvénient les utilisateurs doivent disposer de la liste de révocation en temps réel, en vérifiant ces informations directement dans la base de données de la CA, cette vérification est possible par l’intermédiaire d’un élément OCSP (Online Certificate Status Protocol) [MYE 99] qui se chargera d’interroger la CA sur la validité d’un certificat. De ce fait, la liste de révocation de la PKI est le seul élément devant disposer d’un service d’annuaire obligatoirement connecté à Internet.

� Service de publication : Le service de publication permet l’accès des utilisateurs aux certificats des correspondants afin d’en extraire la clé publique. L’utilisation du service de publication n’est pas requise pour toutes les applications de chiffrement asymétrique. En particulier, l’accès à un serveur HTTPS dans le but de chiffrer les échanges ou d’authentifier le serveur ne requiert pas un accès au service de publication car le serveur HTTPS communique lui- même son certificat lors de la connexion SSL. De même, il est possible d’échanger des messages S/MIME (Secure / Multipurpose Internet Mail Extensions) sans utiliser le service de publication (l’envoi d’un message signé permet de faire


11

parvenir automatiquement au correspondant son certificat). Toutefois, l’utilisation du service de publication est un élément déterminant dès que le nombre d’utilisateurs augmente. L’identité de la personne certifiée est définie dans un Distinguished Name, elle constitue donc une clé d’accès dans l’annuaire LDAP. Par ailleurs LDAP est la seule API (Application Programming Interface) normalisée et donc utilisable dans le contexte hétérogène d’Internet.

figure1.4: Fonctionnement d'une PKI

5. Conclusion: Les outils de la sécurité informatique (cryptographie, signature électronique, etc.…) jouent un rôle indispensable dans le fonctionnement des cartes d'identité électronique, qui atteignent un niveau d'authenticité et de confidentialité sans précédent grâce à ces outils, ce qui rend ce type de cartes d'identité un moyen sûre d'identification qui peut être utilisé aux différentes transactions quotidienne du citoyen algérien sans avoir peur d'être falsifiées.

2ème Chapitre

Signature électronique

2ème Chapitre Signature électronique

13

1. Rappels / Définition: L’ISO (International Organization for Standardization) [ISO 89] définit la signature numérique comme étant des « données ajoutées à une unité de données ou une sorte de transformation cryptographique d’une unité de données permettant de prouver la source et l’intégrité de l’unité de données et la protégeant contre la contrefaçon ». Cette définition recouvre deux principes fondamentaux qui sont l’authentification et l’intégrité des données. Donc la signature électronique est un moyen de sécurité qui permet de valider un écrit créé et émis sous forme électronique, elle peut être considérée comme l'équivalent d’une signature manuscrite seulement appliquée pour des documents numériques, elle permet :

• D’authentifier les échanges de données, de garantir la source (émetteur) des documents de façon fiable.

• D'assurer l’intégrité des données reçus par le biais de vérifier que les informations n'ont pas été altérées.

• De garantir le non répudiation. Puisque un signataire ne peut nier être l’auteur de la signature considérée être sous sa possession exclusif.

• D'offrir une confidentialité des données grâce au chiffrement.

figure2.1: L'authentification via signature

1.1. Définition de la signature électronique selon la loi algérienne [ARPT 07]: « Signature électronique sécurisée » signature électronique qui satisfait aux exigences suivantes: - être propre au signataire; - être créée par des moyens que le signataire puisse garder sous son contrôle exclusif;


14

- garantir avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de l'acte soit détectable.

figure2.2: Fonctionnement de signature électronique dans une carte à puce

La signature électronique utilise deux familles d’algorithmes, qui sont utilisés de manière complémentaire :

- des algorithmes de chiffrement dit « asymétriques » ou à « clef publique ». - des fonctions de hachages: L’intérêt de la fonction de hachage est de permettre de signer une

quantité de données beaucoup plus petite que le message entier (et de longueur fixe).

1.2. Algorithmes asymétriques: Leurs principe est simple et repose sur l'existence d'un couple de deux clés l'une appelée publique, utilisée pendant le processus de chiffrement et l'autre dite privée intervient lors le déchiffrement des données. L’authenticité du document peut être ainsi garantie.

figure2.3: Algorithmes asymétriques

1.3. Fonction de hachage

Les fonctions de hachages sont des fonctions à sens unique et « sans collision », donnant comme résultat après l'avoir appliquée aux données un condensé de taille fixe (appelée condensat ou empreinte), elle est dite de sens unique a cause l'impossibilité de retrouver les données initiales a partir du condensé. Elle est dite aussi sans collision ou injective car il est très difficile de trouver un résultat (condensé) identique de deux données différentes ainsi l’intégrité d’un document est contrôler via la comparaison du condensé calculé avec sa valeur initiale (le condensée reçu).fonctions de hachage les plus souventes sont le MD5 et le SHA.


15

- MD5 (MD pour Message Digest): MD5 crée une empreinte de 128 bits. MD5 était un très bon algorithme, mais l'augmentation de la puissance de calcul des ordinateurs et la progression des techniques de cryptanalyse le rendent aujourd'hui moins sûr.

- SHA-1 (Secure Hash Algorithm): SHA-1 crée des empreintes de 160 bits. Il est considéré plus fiable que MD5.

- SHA-256 / SHA-512, beaucoup plus sûrs mais moins répandus, créent respectivement des

empreintes de 256 et 512 bits. figure2.4: Fonction de hachage

2. Quelques normes et standards Il existe un nombre considérable de normes et de standards qui englobe les certificats, la signature électronique, l’identification des algorithmes cryptographiques, les messages signés, etc. Avant de commencer il faut savoir qu'il existe un langage évolué ASN.1 (Abstract Syntax Notation One) [ISO/IEC et ITU-T 84] conçu pour décrire des structures de données. Des mécanismes (BER, Basic Encoding Rules) ont été définis pour encoder de façon standard ces structures de données afin qu’elle puisse être décodées et reconstituées sur n’importe quelle plateforme. Les mécanismes de codage de BER produisent des données binaires. Le codage Base64 permet de transformer un document binaire en une suite de caractères ASCII. La partie Base64 est entourée d’une balise de début et d’une balise de fin caractéristique du contenu. Toute chaîne de caractères qui se trouve en dehors de ces balises est considérée comme du commentaire. Ce format est communément appelé le format PEM (Privacy Enhanced Mail), du nom des standards de l’Internet relatifs à l’authentification et à la confidentialité dans la messagerie électronique. Le format DER (Distinguished Encoding Rules) correspond aux données binaires contenues dans un fichier PEM, c’est donc le résultat du décodage Base64 des données contenues entre la balise de début et la balise de fin et c'est l'ASN1 qui joue le rôle d'un interpréteur et un afficheur et même un manipulateur, Les PKCS (Public-Key Cryptography Standards) définissent douze standards (de PKCS#1 à PKCS#12) pour spécifier l’utilisation d’algorithmes de chiffrement ou d’échanges de clés, les interfaces avec des modules cryptographiques, les certificats, les requêtes de certificats, les conteneurs de diverses natures. Par exemple, PKCS#6 décrit les certificats. C’est un sur-ensemble des certificats X.509. Les deux PKCS les plus courants sont le 7 et le 12 :

• Le PKCS#7 décrit les conteneurs de données. Il peut s’agir de données signées, chiffrées, signées et chiffrées ou bien d’une liste de certificats d’autorités de certification, etc.


16

• Le PKCS#12, également connu sous le nom de PFX, décrit les mécanismes qui permettent de garantir l’intégrité et la confidentialité de données comme des clés privées, des certificats d’utilisateurs ou d’autorités de certification. C’est le format utilisé pour sauvegarder ou pour transporter des certificats d’utilisateurs et les clés privées correspondantes. Les données contenues dans un fichier au format PKCS#12 sont protégées par un certain nombre de clés. L’une sert au contrôle d’intégrité des données, les autres servent à chiffrer/déchiffrer des données confidentielles comme les clés privées. En pratique, les outils usuels comme les navigateurs n’utilisent qu’une seule clé pour toutes ces opérations. Cette clé est définie par l’utilisateur au moment où il exporte son certificat et sa clé privée et elle est demandée au moment où il importe son certificat.

Le format S/MIME11 définit une collection de types MIME permettant d’envoyer et de recevoir des données signées, chiffrées ou les deux à la fois via la messagerie électronique. Les données en question peuvent être elles mêmes des parties MIME, comme dans le cas où on signe un message électronique contenant un document attaché. S/MIME décrit notamment les types « multipart/signed », « application/pkcs7-signature » et « application/pkcs7-mime ». A ces standards « historiques » peuvent être ajouté plusieurs nouveaux standards mieux adaptés à nos besoins fonctionnels, en provenance notamment du monde XML.

2.1. XML Signature Ce premier standard est le résultat du groupe de travail « XML Signature WG » qui est un groupe conjoint du W3C et de l’IETF. De ces travaux sont issus une « Recommandation » du W3C et une « Standard track » de l’IETF, « XML-Signature Syntax and Processing12 » / RFC327513.

figure2.5: Exemple de signature XML


17

XML Signature a été conçu pour permettre la signature des échanges XML. Pour cela, l’essentiel des fonctionnalités offertes par les signatures de type PKCS ont été reprises, avec un certain nombre d’apports propres à XML, dont le principal est sans doute la possibilité offerte de pouvoir ne signer qu’une partie de l’arbre XML, autrement dit d’un document. La signature d’un document va consister à construire une liste de références (URI), puis de calculer pour chacune d’entres elles un condensat. Cette liste de condensat fera à son tour l’objet d’un hachage, qui sera signé. On pourra alors ajouter divers éléments, tels que le certificat du signataire qui peuvent être internes ou externe au document, concerner tout ou partie de celui-ci, etc. La figure 2.5 offre un exemple de signature XML. Plusieurs implémentations de XML Signature sont actuellement disponibles, on peut citer :

- XMLsec [W3C 08]: diffusé sous licence MIT et qui peut appuyer sur les couches cryptographiques d’OpenSSL, Mozilla (NSS), GnuTLS ou Microsoft MSCryptoAPI. XMLsec propose une API C++.

- Apache XML Security : du groupe Apache, diffusé sous licence Apache Software Licence, qui propose une double API, Java et C++.

2.2. XML Advanced Electronic Signatures (XAdES) [W3C 03] XAdES est une extension de XML Signature. Les extensions concernent notamment le domaine de la non répudiation, en définissant des formats XML pour les « Signatures électroniques avancées » susceptibles de rester valides pendant de grandes périodes, conformément à la « Directive Européenne 1999/93/EC ». XAdES est le résultat des travaux de la section STF de l’ETSI. Une « note W3C » reprend ces spécifications, en vue d’une recommandation W3C. Concernant la mise en œuvre de XAdES, si les implémentations ne sont pas extrêmement nombreuses, il est néanmoins incontournable de citer l’initiative OpenXAdES, qui, comme le nom l’indique, est une initiative ouverte autour de XAdES. 3. Principe de fonctionnement de la signature numérique On peut résumer le fonctionnement d’une signature comme suit : on possède d’un algorithme de chiffrement à clé publique, soit CA la fonction de chiffrement et DA celle de déchiffrement. On sait que la fonction CA est connue de tous, par la clé publique associée à l’algorithme, tandis que DA n’est pas connue que par le possesseur et soit par exemple Alice le possesseur de la clé privée. Lorsque Alice souhaite signer un message M, elle applique une fonction de signature S talque S=CA (M). Toute personne ayant le message M et la signature S peut vérifier qu’Alice est à l’origine de la signature en calculant DA (S). Si cette quantité est bien égale à M, alors on peut être certain qu’Alice est l’auteur de la signature, car seule elle peut produire DA (M), puisqu’elle est la seule à connaître DA. On peut également vérifier l'intégrité du message, puisque altérer le message, il faudrait également altérer la signature de manière cohérente, ce qui n’est possible que si l’on dispose de DA. En définitive, on ne signe pas le message M, mais seulement l’empreinte (le hash) de M par une Fonction de hachage. La sûreté de la signature réside alors dans le choix de la fonction de hachage. Il faut que la fabrication d’un message ayant une empreinte étant donné un message et son empreinte, il soit très difficile de fabriquer un message ayant une empreinte (et donc une signature) égaux a un autre message et empreinte soit le plus difficile possible. La signature numérique nécessite l’utilisation de certificats électroniques. Ces dernières sont générées par des autorités de certification, qui permettent d’identifier de façon unique la personne (ou l’entité) qui possèdent les clés publique et privée : les certificats peuvent être vus comme la carte d’identité numérique de cette personne ou de cette entité.


18

4. Cadre technologique et organisationnel de la signature électronique La signature électronique utilise la technologie d’infrastructure de gestion de clé publique (IGC ou PKI pour Public Key Infrastructure). Une infrastructure de gestion de clé (IGC) désigne un cadre organisationnel ainsi qu’une infrastructure technique. Elle met en œuvre les opérations d’authentification, de création de la signature électronique et le chiffrement. L’IGC est donc une Structure à la fois technique et administrative. Un pourcentage de 80 % d’organisation structurelle et humaine et de 20 % de technique est nécessaire pour la mise en œuvre et la maintenance d’une IGC. Une IGC est basée sur le cadre technologique suivant :

• un certificat numérique qui est l’équivalent d’un passeport numérique ; • le chiffrement à clé asymétrique qui comprend deux clés : une clé publique et une clé privée.

Ces technologies sont employées dans un cadre formalisé : • des acteurs identifiés : autorité de certification, d’enregistrement ; • une politique de certification.

Enfin l’IGC est mise en œuvre en fonction : • des services offerts : signature, chiffrement, horodatage, archivage ; • du périmètre couvert : procédure à usage interne ou à destination de publics externes ; • du mode d’industrialisation : réalisé en interne ou externalisé.

4.1. L’IGC (Infrastructure de Gestion de Clés) :

Définition : appelée aussi PKI (Public key Infrastructure) ou encore IGP (Infrastructure de Gestion de clés Public), c’est une autorité de certification qui a pour but d’authentifier les clés publiques et cela en fournissant des pièces numériques aux usagers appelées certificats numériques, ces certificats doivent être largement publiées mais aussi signées par cette autorité afin de garantir leurs crédibilités aux yeux des usagers. Pour obtenir un certificat le client doit faire transmettre une requête avec sa clé publique à une autorité connue, cette dernière va construire un certificat incorporant la clé publique du client et ce certificat sera signé par sa clé privée

figure2.6: Principe de fonctionnement d'une PKI


19

Par la suite l’organisme de certification publiera le certificat avec la clé publique et l’identité de l’usage et quiquonque peut la consulter et de cette façon la clé publique de l’usage est authentifiée car on a confiance dans l’autorité de certification

4.1.1. Gestion des clés: La gestion des clés est garantie en appliquant les étapes suivantes

� Génération � Distribution � Stockage � Suppression. � Archivage � Recouvrement

� Génération des clés On peut générer deux types de clés :

� Symétriques: elles sont générées via un générateur de nombres aléatoires ou pseudo aléatoires mais il faut surtout savoir choisir le domaine de valeurs dans lequel les clés seront définies car choisir un domaine faible signifie avoir des clés plus vulnérables

� Asymétriques: elles sont générées selon des processus complexe et suivant un nombre premier et certains paramètres suivant l’algorithme

� Distribution des clés Cette opération désigne le déplacement de clé de cryptage. Il existe deux étapes distinctes pour la distribution de clés; création de la clé initiale et la création des clés ultérieures. Avant tout, on génère la clé initiale appelée aussi clé maitraisse ensuite en utilise cette clé afin de pourvoir distribuer les clés ultérieures.

� Stockage des clés Apre la distribution on doit stocker la clé c’est à dire la garder et la protéger tout en assurant son intégrité et sa confidentialité à tout prix. L’intégrité et l’authenticité pourront être assure par le contrôle d’accès, mais la confidentialité de la clé ne peut être garantie qu’avec son stockage sur support hardware.

� Suppression de clés On passe a ce niveau seulement si la clé expire c'est-à-dire elle perd sa validité ou bien si on l’a soupçonne d’avoir perdu sa confidentialité parla suite la clé et ses copies symétriques seront détruites pour le cas symétrique ou bien de clés publique pour le cas asymétrique. L’archivage est une exception pour cette règle.

� Archivage des clés L’archivage des clés permet de conserver une copie des clés même si elles ne sont plus utilisées,

� Recouvrement des clés (Key Recovery) Cette opération intervient quand le client perd sa clés ou bien pendant l’absence de celui-ci (par exemple la mort), elle permet d’avoir un double de la clé prive, cette clé qui était stockée et cryptée dans un emplacement spécial

4.1.2. Annuaire et PKI Les annuaires contiennent les informations concernant les systèmes, les services réseau et les utilisateurs. De ce fait, un service d'annuaire peut être très simple, mais également devenir d'une grande complexité suivant la nature des informations contenues. Les composants d’une PKI doivent avoir un stockage organisé et un accès facile. Le service d’annuaire peut participer à cette tâche en assurant une organisation adéquate des données de la PKI est permettre son accès de façon simple. Le service d’annuaire est utile dans le cas d’une PKI pour différentes raisons :


20

� Les certificats générés par une PKI peuvent être stockés dans l’annuaire et récupérés facilement par les utilisateurs et les applications.

� L’annuaire peut stocker également la liste de révocation CRL, permettant ainsi aux utilisateurs de vérifier la validité d’un certificat de façon simple.

� Les organisations PKI qui permettent de gérer le recouvrement de clé, peuvent utiliser l’annuaire pour stocker les clés privées, cryptées bien évidemment. Les PKI mettant en œuvre un service de recouvrement de clé privée disponible dans un annuaire permettent un déploiement vraiment mobile des applications

Pour être compatible avec la PKI, l’annuaire doit répondre à deux critères : 1. L’annuaire doit supporter le protocole LDAP (Lightweight Directory Access Protocol) le standard pour l’accès aux données par annuaire. 2. L’annuaire doit supporter le standard X.509v3 et permettre de stocker des CRL.

4.2. Signature électronique, PKI et certificat : De même qu’une carte d’identité ou un passeport, un certificat est délivré par une autorité, que l’on qualifie de certification, il est utilisé pour assurer la validité de la clé publique, ainsi la signature électronique est calculée sur les informations contenues dans le certificat, cette signature est l’empreinte de ces informations chiffrée avec la clé privée de l’autorité de certification. Le format reconnu actuellement pour le certificat est le formatX509v3.

4.2.1. Certificat électronique: Sans un certificat électronique un système de sécurité informatique aura une grande lacune, car c'est le garant des clés publiques des usagers puisque le tout fonctionne de manière électronique sur internet, sans contact direct donc sans moyen visuel de reconnaissance d’une personne. Sans certificat un pirate par exemple qui a pu pénétrer dans un serveur d'annuaire pourra modifier les clés des utilisateurs et par la suite il pourra lire les messages confidentiels ainsi signer des document en faisant passer par les usagers de cet annuaire. Pour récapituler, un certificat électronique est utilisé dans le cadre d’une infrastructure à clé publique. Cette technologie d’authentification, dite forte, peut être combinée à deux autres techniques d’authentification que sont le mot de passe ou la biométrie pour atteindre un niveau de sécurité supplémentaire (authentification à deux facteurs), comme une carte d'identité ou un passeport, elle contient les informations sur son propriétaire.

figure2.7 : Analogie entre certificat électronique et carte d'identité nationale


21

- Généralement le monde informatique possède deux types de certificats: des certificats de

chiffrement (utilise lors de cryptage), et les certificats de signature (utilisés par les signatures électroniques).

4.2.1.1. Un fonctionnement sécurisé des certificats: Un certificat permet d'authentifier de manière sure la personne ou l'entité avec laquelle on souhaite échanger des données, la transmission de ces dernières sera sécurisée via le chiffrement en utilisant le protocole SSL (Socket Secure Layer), ces certificats sont également employés pour différent opérations sur le réseau informatique par exemple pour les transactions commerciale (commande d’un billet d'avion par exemple) ou bancaire (consultation d’un compte, virement, etc...).

4.2.1.2. Classes de certificats: On désigne par classe de certificat le niveau de contrôle offert par ceci, on se basant sur cette définition on distingue trois classes: Classe1: Cette classe n'a pas de valeur juridique puisque elle est obtenu en ligne sans aucune vérification d'identité, la seule validation se fera sur l'adresse électroniques de l'usager, ces certificats sont généralement utilisés par des particuliers à des fins de cryptage de message sur le net. Classe2: Dans cette classe la demande de certificat doit être faite par une personne physique uniquement et c'est l'autorité de certification qui se chargera de la vérification des informations fournies par le demandeur avant la livraison du certificat. Classe3: Cette classe se diffère de la précédente par le type des demandeurs de certificats qui peuvent être physiques ou morals, ainsi par le contrôle de l'identité qui sera une vérification physique dite aussi contrôle face à face ou rapport facial.

4.2.1.3. Certificats et services de sécurité: Le certificat électronique est employé dans les différents domaines de l'informatique afin d'assurer les différents services de sécurité:

Service de sécurité Utilisation du certificat

Confidentialité - Les certificats permettent de chiffrer et déchiffrer les messages.

Intégrité - Les certificats permettent de vérifier l'intégrité d'un message, grâce à une fonction de hachage permet de s'assurer que le message n'a pas été altéré.

Authentification - L’utilisation de certificats permet d’établir l'identité de l'expéditeur,

Non-répudiation - Le certificat permet d'identifier les participants à l’échange d’informations : Le dépôt du message signé et éventuellement chiffré chez un tiers de confiance permet la non-répudiation.

tab 2.1 : Services de sécurité offerts par un certificat électroniques


22

4.2.1.4. Support physique Un certificat prend la forme d'un fichier qui peut être gardé soit sur le pc (certificat logiciel), ou bien sur un moyen physique plus sûr comme les cartes à puce ou les clés USB. Certificat logiciel: ce cas nécessite l'installation de logiciel dans les divers navigateurs web afin de pouvoir utiliser le certificat. Certificat sur clé USB: c'est une clé USB cryptée qui doit être utilise par le biais d'un logiciel spécifique qui jouera le rôle d'une interface avec le pc. Ce cas a pour avantage de pouvoir garantir la mobilité du certificat qui sera donc maniable. Certificat sur cartes à puce: dans ce cas on doit avoir un lecteur de carte et un logiciel spécial afin de pouvoir garantir la bonne exploitation du certificat numérique. Il existe plusieurs critères selon les quelles on pourra choisir le support approprié pour notre certificat numérique parmi eux on trouve; le coût, la facilité d'utilisation, déploiement et la mobilité du support:

Support du certificat

Avantages Inconvénients Niveau de sécurité

Logiciel o Logiciel installé directement sur le poste client

o la procédure d’installation varie d’un navigateur à l’autre

o Incompatibilité pour

certains OS (Mac, Linux) et de certaines versions d’OS

o la mobilité dépend du poste de travail

o Moyen

Clé USB o mobilité o simplicité d’utilisation o port USB présent sur tous les

ordinateurs récents

o Le support est encore peu connu des utilisateurs non informaticiens

o Fort avec mot de passe

Carte o support connu des utilisateurs o support personnalisable o support utilisé pour les projets

gouvernementaux d’IGC.

o il faut installer un lecteur avec ou sans contact

o le coût de l’équipement est élevé

o Fort avec mot de passe ou reconnaissance biométrique

tab 2.2 : Comparaison entre support de certificats électroniques

4.2.1.5. Certificats et rèvocation: les certificats sont généralement stockes sur des annuaire LDAP, ces annuaire doivent être sécurisés a tout prix afin d'assurer la validité des certificat et donc la validité des clés publique, mais il existe certain cas ou on doit révoque un certificat par exemple le cas d'un stagiaire ou une personne qui se fait dérober sa clé secrète et pour cela une liste de révocation appelée CLR (Certificat Revocation List) est mise en place, elle a pour but d'éviter l'utilisation de toute certificat frauduleuse périmée, a cause la fin de sa validite ou la perte de sa confidentialité. L'accès a cette liste doit être garantit a tout moment. La révocation a pour résultat de supprimer la caution de l’autorité de certification sur un certificat donné avant la fin de sa période de validité.


23

4.3. Répartition des CA (Certification Authority):

Un nombre important d'usagers ne peut pas avoir ses certificats d'un seul CA, pour cela le travail est reparti à travers plusieurs CA qui fonctionnent selon une même PKI et suivant un modèle précis.

4.3.1. Modèle hiérarchique Dans ce modèle les CA appelées CA subordonnées sont reparties selon un arbre hiérarchique, sous le contrôle d'une autorité supérieure (le plus haut niveau d'autorité) constituant la racine de l'arbre appelée CA root qui est la seul a posséder un certificat auto signé et qui génère des certificats pour les CA subordonnées mais qui définit aussi des relation(des règles) avec eux, ces relations sont dites la chaine de confiance, un utilisateur qui a confiance en CA root doit avoir confiance dans leur CA subordonnées a cause de cette chaine de confiance.

figure2.8: Modèle hiérarchique

4.3.2. Modèle peer to peer ou maillé: Dans ce modèle tout les CA fonctionnent au même niveau et chaque deux CA doivent échanger leurs clé publique mutuellement ainsi chacune d'elles vois l'autre comme étant sa racine et par la suite chacune d’eux peut générer un certificat pour son homologue

figure2.9: Modèle maillé

4.3.3. Modèle en pont ou bridge:

Dans ce modèle les CA changent leurs clés publiques à travers une CA intermédiaire appelé CA bridge, ce modèle possède un avantage par rapport au modèle maillé qui consiste à diminuer le nombre de certificats générés pour un nombre important de CA tel que ; pour N autorités de certification il suffit de générer N certificats tandis qu'il fallait créer N-N2/2 pour le maillé, ainsi il offert une structure stable par rapport au modèle hiérarchique.


24

figure2.10: Modèle bridge

Modéle Avantage inconvenient

Hiérarchique - Evolutif - Sécurisé - Offrant un contrôle total - Offre un chemin

de certification unique et simple

- très rigide nécessitant un

- contrôle très intensif

- sécurité: CA root le point faible

Maillé - Modèle plus ouvert, plus flexible que le modèle hiérarchique

- Absence de contrôle - sécurité: tout les CA sont des points

faibles - nécessite n-n2/2 pour n CA - La politique de certification des CA

doit être similaire afin d’assurer la compatibilité du modèle

Bridge - Diminue le nombre de reconnaissances mutuelles

- sécurité: CA root le point faible - La politique de certification des CA

doit être similaire afin d’assurer la compatibilité du modèle

tab 2.1 : Comparaison entre modèles de la CA

4.4. Politique de certification: Une politique de certification comme par exemple thawte personnal freemail, thawte personnal basic [THAWTE 95] ou swisskey, désigne les règles mis en place par l'autorité de certification pour la demande, la délivrance, l’utilisation et la gestion des certificats. Une autorité de certification peut utiliser différentes politiques selon les utilisateurs et les usages concernés [IETF 99].

4.5. Services associés à la signature électronique: Une PKI peut offrir autres services, afin de garantir le bon fonctionnement d'une signature électronique:

4.5.1. L’horodatage (timestamping): Ce service fait inscrire une signature composée de date et heure infalsifiables sur un document numérique, donc il offre une garantie de date certaine (comme cachet de la Poste), ce service est fréquemment employé dans les journaux d'événements. Il est représenté généralement sous forme d'une séquence de caractères représentant la date et l'heure dans lesquelles est survenu l'événement.


25

4.5.2. L’archivage

L'archivage est l'action consistant à conserver les signatures électroniques et cela pour des buts de gestion et d'administration, de justification de droit des entités mais aussi en cas de vérification et de contrôle (par exemple le cas d'une enquête). La durée légale d’archivage varie en fonction des signatures de 5 à 30 ans et plus.

4.6. Schéma d’architecture générale Une infrastructure de gestion de clé a pour rôle de garantir aux usagers (personne, serveur ou application informatique) trois grandes catégories de services :

• la signature électronique pour garantir l’authentification des auteurs et l’intégrité des données

• le chiffrement, pour garantir la confidentialité des données • le contrôle de l’accès aux données ou aux applications pour garantir la sécurité des systèmes

d’information.

Des services complémentaires d’archivage et d’horodatage peuvent être ajoutés. L'IGC utilise différents protocoles dans un but de sécuriser les échanges de données. Le principe est comme suit ; il est possible d’envoyer des données en utilisant le chiffrement via un canal sécurisé sur Internet avec l’utilisation de technologies VPN (Virtual Private Network) ou de sessions HTTP sécurisées par le protocole SSL (HTTPS). Puisque grâce à sa capacité à fournir des certificats numériques, l'IGC peut permettre aussi d'utiliser les outils de chiffrement qui traitent les données elles-mêmes et par la suite la confidentialité des donnes est garantie par le chiffrement du message, mais aussi avec l’emploi de certificats numériques.

figure2.7: Schema général de couches intervenant dans le fonctionnement d'une PKI


26

5. Types de signatures ;

5.1. Selon la fiabilité A. La signature électronique simple : Elle n’est pas considérée fiable jusqu’à qu’on prouve le

contraire. En cas de contestation, c’est donc à celui qui veut se prévaloir des effets juridiques de cette signature d'apporter la preuve de la fiabilité du système mis en œuvre.

B. La signature électronique présumée fiable : Elle ne peut être contestée qu’en apportant la preuve de sa non fiabilité.

Pour être considérée comme fiable, la signature électronique doit garantir trois propriétés : − La signature électronique doit être sécurisée − La signature électronique doit être établir grâce à un dispositif sécurisé de création de

signature La vérification de la signature électronique doit utiliser un certificat électronique qualifiée, émise par un prestataire de service de certification électronique.


27

figure2.7: exemple de critères de signatures fiable selon la loi française


28

5.2. Selon le type de service offert: • Intégrité seule • Intégrité + confidentialité • Intégrité + confidentialité + authentification (garantie d'origine) 1) Signature avec intégrité seule

� Appliquer une fonction de hachage H(M) pour le message M, par exemple MD5 � Ensuite envoyer M+H(M) ne suffit pas car un intrus peut intercepter M, changer M en

M2, calculer H(M2), et renvoyer M2+H(M2) � Donc il faut avoir une clé secrète K partagée entre les usagers A et B � A concatène M, L (longueur de M) et K et calcule D = H (M, L, K) ensuite A envoie à B

M+D � B recalcule H (M, L, K) à partir du message M reçu (il connaît K) � B vérifie que H (M, L, K) = D

2) Signature avec intégrité et authentification • A chiffre le message avec sa clé privée MC • A envoie à B : (M, {M} MC) • B déchiffre {M} MC avec KP (publique) • B compare [{M} MC] KP avec M • Si différents, le message (ou la signature) a été altéré • Propriétés : vérification d'intégrité, authentification, non dénégation 3) Signature avec intégrité, confidentialité et authentification • A et B s'accordent sur une clé secrète KS • A calcule H(M), par exemple avec MD5 • A envoie à B {M} KS, {H(M)} KSA • B déchiffre {M} KS avec KS, {H(M)} KSA avec KPA (donne comme résultat DM) • B calcule H(M) (avec le même H () que A) et le compare avec DM. • test d'intégrité (OK si H(M) = DM, violation sinon) • confidentialité grâce à KS, authentification et non dénégation (car seul A a pu chiffrer H(M))

- interception et modification de M “difficiles” car il faut à la fois KS et KSA

6. Cadre juridique de la signature électronique en Algérie: • loi n° 05‐10 modifiant et complétant l’ordonnance n° 75‐58 − "Art. 323 ter. — L'écrit sous forme électronique est admis en tant que preuve au même titre que l'écrit sur support papier, à la condition que puisse être dûment identifiée la personne ont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité". • Décret exécutif n° 07‐162 modifiant et complétant le décret exécutif n° 01‐123 – Art. 3. ‐ Sont subordonnés à l'octroi d'une autorisation délivrée par l'autorité de régulation de La poste et des télécommunications, l'établissement et l'exploitation: •des services de certification électronique. L'autorisation des services de certification électronique est, toutefois, assortie d'un cahier des charges fixant les droits et les obligations du prestataire du service et de l'utilisateur. – Art. 3 bis. ‐ Pour l'application du présent décret, il est entendu, par:

• signature électronique: donnée qui résulte de l'usage d'un procédé répondant aux conditions définies aux articles 323 bis et 323 bis 1 de l'ordonnance n° 75‐58 du 26 septembre 1975, susvisée;

• signature électronique sécurisée: signature électronique


29

• qui satisfait aux exigences suivantes : – être propre au signataire; – être créée par des moyens que le signataire puisse garder sous son contrôle exclusif; l'acte soit détectable; – signataire: personne physique... – Art. 3 ter. ‐ Les certificats délivrés par un prestataire de services de certification électronique établi dans un pays étranger ont même valeur que ceux qui sont délivrés en vertu des dispositions du présent décret lorsque ce prestataire étranger agit dans le cadre d'une convention de reconnaissance mutuelle conclue par l'autorité de régulation de la poste et des télécommunications". 7. Conclusion :

La signature électronique est un élément substantiel dans une carte d’identité électronique car c’est une empreinte protégée par un certificat permettant la reconnaissance, la confidentialité, la sécurité, l'authenticité des données de l’usager, et elle dérive son importance de ses qualités :

� Elle n'est pas imitable. � Elle n'est pas répudiable. � Elle protégé le contenu contre les modifications. � Elle permet de signer directement tout ce qui est numérisable.

Mais malgré ces qualités, il faut toujours garder en esprit que le risque zéro n’existe pas en sécurité informatique.

3ème Chapitre

Implémentation d’une carte d’identité électronique

3ème Chapitre Implémentation d’une carte d’identité électronique

31

1 Introduction: L’implémentation de carte identité électronique passe par plusieurs étapes:

1- Création d'une autorité de certification 2- Installation des SDK 3- Réalisation d'une application DZeID (avec le langage C#) 4- Introduction des lettres arabe.

2 Création d'une autorité de certification:

Afin de créer une autorité de certification sur Windows serveur 2008 on doit installer ce qu’on appelle l’ADCS (Active Directory Certificate Service) qui fournit des services personnalisables pour l’émission et la gestion de certificats dans des systèmes de sécurité logicielle employant des technologies de clé publique. Pour obtenir des informations techniques d’ordre général à propos du chiffrement par clé publique et des avantages offerts par une infrastructure à clé publique (PKI), voir Infrastructures à clé publique. Vous pouvez utiliser les services AD CS pour créer une ou plusieurs autorités de certification pour recevoir les demandes de certificat, vérifier les informations contenues dans la demande et l’identité du demandeur, émettre des certificats, révoquer des certificats et publier des données de révocation de certificat.

- Pour installer une autorité de certification racine il nous faut • Ouvrir Gestionnaire du serveur, cliquer sur Ajouter des rôles, sur Suivant, puis sur Services

de certificats Active Directory. Cliquer sur Suivant à deux reprises.

Figure3.1 : Ajouter de Services de certificats Active Directory


32

• Dans la page Sélectionner les services de rôle, on clique sur Autorité de certification . et sur

Suivant.

• Dans la page Spécifier le type d’installation, on clique sur Autonome ou Entreprise. puis sur

Suivant.

Figure3.2 : Spécification de type de CA


33

Dans la page Configurer la clé privée, on clique sur Créer une nouvelle clé privée, ensuite sur Suivant.

1. Dans la page Configurer le chiffrement, on sélectionne le fournisseur de services de

chiffrement, la longueur de la clé et l’algorithme de hachage.et on clique sur Suivant.

Figure3.3 : Spécification de période de validité


34

2. Dans la page Configurer le nom de l’autorité de certification, on crée un nom unique pour

identifier l’autorité de certification et on clique sur Suivant.

Figure3.4 : Nommage de CA

3. Dans la page Période de validité du certificat, on spécifie le nombre d’années ou de mois de

validité de l’autorité de certification racine et on clique sur Suivant.

4. Dans la page Configurer la base de données de certificats, on accepte les emplacements par

défaut, à moins qu’on ne voulait spécifier un emplacement spécifique pour la base de données

de certificats et pour le journal de base de données de certificats et on clique sur Suivant.

5. Dans la page Confirmer les options d’installation, on vérifie les paramètres de configuration

que nous avons sélectionnés. Pour accepter toutes ces options, on doit cliquer sur Installer et on

doit patienter jusqu’à la fin du processus d’installation.


35

figure3.5 : CA après création

� Remarque: la procédure de création d'autorité de certification doit être précéder par l'installation et la configuration des services d’annuaire Microsoft Active Directory et le service IIS.


36

3 Installation des SDK: - Installation des SDK [BEID 3.5]: Un kit de développement ou trousse de développement logiciel ou appelé parfois Middleware ou encore RunTime est un ensemble d'outils permettant aux développeurs de créer des applications de type défini. Les kits de développement logiciels sont souvent désignés par le sigle anglais SDK (Software Developpent Kit) ou devkit. Le middleware de la carte d’identité électronique est un programme qui permet d’établir la liaison entre l’application qui gère les caractéristiques de sécurité (signature digitale) et le lecteur de cartes à puce qui réalise les opérations de cryptographie.

figure3.6 : Etablissement de liaison entre l’application et lecteur de carte via le middleware


37

4 Réalisation d'une application DzeID Ajout de librairie beid35libCS.dll : Après avoir installé les SDK, on trouve leur répertoire dans C:\Documents and Settings\<user>\My Documents, et qui va contenir une librairie beid35libCS.dll indispensable pour la réalisation de l'application DzeID, puisque après elle doit être ajouté comme référence dans notre projet du visual studio.

figure3.6 : Ajout de référence

figure3.6 : Sélection de référence


38

4.1 Initialisation / Libération du SDK : La librairie eID est initialisée en appelant la méthode initSDK () , tandis que la libération du SDK doit être fait en utilisant releaseSDK (). Il est important que le dernier appel à la librairie est releaseSDK () avant l'application se ferme. Cet appel fera en sorte que tous les processus d'arrière-plan sont arrêtés et la mémoire est nettoyée. Une application doit avoir un seul initSDK () et un releaseSDK (). Code c#: using System;

using System.Collections.Generic;

using System.Linq;

using System.Collections.ObjectModel;

using System.Text;

using be.belgium.eid;

namespace DZeID

{

class Program

{

void main(int argc, string[] argv) {

BEID_ReaderSet.initSDK();

// acces a la carte DZeID

BEID_ReaderSet.releaseSDK(); }

}

}


39

4.2 Accès à la carte eID Après l'initialisation de la librairie eID, le système est prêt à être utilisé. Pour accéder à une carte d'identité électronique, la séquence suivante doit être suivie: - Obtenir la liste des lecteurs de cartes - Sélectionnez un lecteur de carte - Tester si une carte est présente dans le lecteur de carte - Selon le type de carte, obtenir l'objet de cartes(Pour utilisation futur) - Obtenir les données objet nécessaires - Lire les champs de données

4.2.1 Liste de lecteurs La classe BEID_ReaderSet représente la liste des lecteurs de carte connectés à la machine ainsi une variété de fonctions pour obtenir des informations sur les lecteurs de carte connectés. A partir de cette liste de lecteurs,un lecteur de cartes peut être sélectionné et l'e contexte de lecteur BEID_ReaderContext peut être utilisé pour accéder à la carte dans le lecteur de carte.

Code c#: . . .

long nrReaders = BEID_ReaderSet.instance().readerCount(); string[] readerList = BEID_ReaderSet.instance().readerList();

for (int readerIdx = 0; readerIdx < nrReaders; readerIdx++)

{

BEID_ReaderContext readerContext =

BEID_ReaderSet.instance().getReaderByName(readerList[readerIdx]);

bool bCardPresent = readerContext.isCardPresent();

. . .

}

. . .

4.2.2 Obtention de l'objet carte Le contexte de lecteur permet d'accéder à la carte (si présente). Une fois le type de carte est déterminé par le contexte lecteur (getCardType ( )), l'objet de cartes correspondantes peuvent être obtenues (GetEIDCard ( )). L’obtention de l'objet carte peut être utilisé pour le future c'est-à-dire en cas d’apparition d’autres types de carte autre que l’eID.

Code c#: . . . switch (readerContext.getCardType())

{

case BEID_CardType.BEID_CARDTYPE_EID:

{

BEID_EIDCard card = readerContext.getEIDCard();

string name = card.getID().getSurname();

. . .

}

break;

default: // unknown card type

. . .

break;

}

. . .


40

4.2.3 La lecture des données Les données sur une carte eID utilise l'encodage UTF-8 et sont stockées dans de multiples «documents»: - Document ID: contient les données des personnes - Document Image: contient l'image des personnes - Document VersionInfo: contient les informations de version de la carte

Pour obtenir les données d'identification d'objet, la méthode getId () peut être utilisé. Cet objet peut ensuite être utilisé pour accéder aux différents champs de données comme le nom, adresse, etc... Code c#: ... BEID_EIDCard card;

card = Reader.getEIDCard();

BEID_EId doc;

doc = card.getID(); string sText;

sText = "";

sText += "First Name = " + doc.getFirstName() + "\r\n";

sText += "Last Name = " + doc.getSurname() + "\r\n";

sText += "Gender = " + doc.getGender() + "\r\n";

sText += "DateOfBirth = " + doc.getDateOfBirth() + "\r\n";

sText += "LocationOfBirth = " + doc.getLocationOfBirth() + "\r\n";

sText += "NationalNumber = " + doc.getNationalNumber() + "\r\n";

Le national number est un matricule unique pour chaque citoyen, on propose sa structure comme suit : WWDDCCIIIIII tel que :

� WW : numéro de wilaya � DD : numéro de daïra � CC : numéro de commune � IIIIII : identifiant du citoyen dans la commune

sText += "Nationality = " + doc.getNationality() + "\r\n";

sText += "SpecialOrganization = " + doc.getSpecialOrganization() + "\r\n";

sText += "MemberOfFamily = " + doc.getMemberOfFamily() + "\r\n";

sText += "AddressVersion = " + doc.getAddressVersion() + "\r\n";

sText += "Street = " + doc.getStreet() + "\r\n";

sText += "ZipCode = " + doc.getZipCode() + "\r\n"; sText += "Municipality = " + doc.getMunicipality() + "\r\n";

sText += "Country = " + doc.getCountry() + "\r\n";

sText += "SpecialStatus = " + doc.getSpecialStatus() + "\r\n";

...

4.2.4 Les données d'image L'objet image contient les données d'image du propriétaire de la carte eID. Cette image est un fichier en format JPG. Pour obtenir l'objet image, la méthode getPicture () peut être utilisé.

Code c#: ... BEID_Picture picture;

picture = card.getPicture();

byte[] bytearray; bytearray = picture.getData().GetBytes();

// Maintenant les données peuvent être sauvegarder sur un fichier si on veut


41

4.2.5 Codes PIN Une carte d'identité électronique contient un code PIN. Ce code PIN peut être vérifiée ou modifiée. Les méthodes les plus importantes pour accéder à la PIN sont: - VerifyPin (): vérifier le code PIN donné - ChangePin (): modifier le code PIN par un nouveau code Chaque tentative échouée d'accés au code PIN se traduira par une réduction du nombre d'essais . Après 3 tentatives infructueuses, la carte sera bloquée.

Code c#: ...

BEID_ReaderSet ReaderSet;

ReaderSet = BEID_ReaderSet.instance();

BEID_ReaderContext Reader;

Reader = ReaderSet.getReader();

uint lRemaining = 0;

if (Reader.getEIDCard().getPins().getPinByNumber(0).verifyPin("", ref lRemaining)) {

// success

}

else {

if (ulRemaining == -1)

// verify pin canceled

else

//verify pin failed

}

...

4.2.6 Certificats Les certificats sur la carte peuvent être obtenu en utilisant getCertificates ( ). Cette méthode renvoie un certificat BEID_Certificates par la suite tous les certificats peuvent être consultées et les données associées peuvent être récupérées comme: - Numéro de série - Titulaire du certificat - L'émetteur du certificat - Dates de validité du certificat - ... Les certificats peuvent être ajoutés au conteneur de certificat via addCertificate (). Code c#:

... BEID_EIDCard Card = readerContext.getEIDCard();

BEID_Certificates certificates = Card.getCertificates();

for (uint CertIdx = 0; CertIdx < Card.certificateCount(); CertIdx++)

{

BEID_Certificate cert = certificates.getCertFromCard(CertIdx);

}

...


42

4.2.7 Validation de certificat Les certificats sont stockés sur la carte eID. Ces certificats ont une validité qui peut être vérifiée de 3 façons: - Validé: la signature du certificat est vérifiée et le certificat racine doit être valide. - Via CRL: La CRL est téléchargée et on vérifie si le certificat est présente sur la liste de révocation ou pas, ce qui signifie révoqué ou en cours de validité. - Via le protocole OCSP (Online Certificate Status Protocol): Une demande est envoyée au serveur OCSP qui répond le certificat est valide, révoqué ou inconnus. La validation via OCSP a besoin d'une connexion permanente à Internet, tandis que la validation CRL a besoin d'une connexion quand une nouvelle CRL est demandée. Code c#:

BEID_ReaderSet ReaderSet = BEID_ReaderSet.instance(); BEID_ReaderContext Reader = ReaderSet.getReader();

BEID_EIDCard card = Reader.getEIDCard();

BEID_Certificates store = card.getCertificates();

BEID_Certificate certAuth = store.getAuthentication();

BEID_CertifStatus status = certAuth.getStatus();

string textStatus; if (status == BEID_CertifStatus.BEID_CERTIF_STATUS_VALID)

textStatus = "The authentication certificate is issued from a trusted root";

else if (status == BEID_CertifStatus.BEID_CERTIF_STATUS_VALID_CRL)

textStatus = "The authentication certificate has been succesfully verify

through CRL validation";

else if (status == BEID_CertifStatus.BEID_CERTIF_STATUS_VALID_OCSP)

textStatus = "The authentication certificate has been succesfully verify through OCSP validation";

else if (status == BEID_CertifStatus.BEID_CERTIF_STATUS_REVOKED)

textStatus = "The authentication certificate is revoked";

else

textStatus = "The authentication certificate could not be validated";

5 Introduction des lettres arabes L’introduction de lettres arabes se fait via la signature électronique, plus précisément la signature xml, et avec l’utilisation du codage ISO-8859-6 dans la déclaration du fichier xml ainsi dans le codage de la signature : Voici la déclaration du fichier xml :

<? xml version="1.0" encoding="ISO-8859-6" standalone="yes" ?>

L’utilité des lettre arabes c’est d’ajouter et augmenter la robustesse du codage, car il va y avoir plus de lettre dans les combinaisons des lettres ce qui rend le cryptage plus difficile à casser. Les espaces de noms utilisés pour la signature sont les suivants :


43

- System.Security.Cryptography.Xml - System.Security.Cryptography.X509Certificates

Il faut également référencer l' assembly System.Security dans votre projet. Pour commencer il nous faut un certificat. Voyons comment accéder à nos certificats avec .Net. Pour accéder au magasin de l'utilisateur courant il suffit donc de faire. X509Store store = new X509Store("teststore", StoreLocation.CurrentUser);

Maintenant que nous avons accès à notre magasin, il faut l'ouvrir en indiquant la façon de l'ouvrir avec l'énumération OpenFlags. store.Open(OpenFlags.ReadWrite);

Après cela on doit sélectionner le certificat signataire en spécifiant son emplacement via l’instruction ; X509Certificate2 certificate = new X509Certificate2("c:\\Users\\user\\Desktop\\certAdmin.cer");

Maintenant que nous avons sélectionné un certificat on doit l’ajouter au magasin pour pouvoir l’utiliser plus tard dans le processus de signature il suffit de faire ; store.Add(certificate);

store.AddRange(collection);

Après avoir récupérer le certificat, on attaque la signature XML. Tout d'abord, il faut commencer par charger notre fichier à signer (ici ce ficher est le certificat user.cer) et on doit le convertir en base64. XmlDocument xmlDoc = new XmlDocument();

XmlElement element = xmlDoc.CreateElement("شھادة_Certificate", xmlDsigUrl); element.InnerText =

Convert.ToBase64String(File.ReadAllBytes("c:\\Users\\user\\Desktop\\user.cer"));

xmlDoc.AppendChild(element);

Maintenant nous allons créer un objet SignedXml portant sur le document XML que l'on veut signer ; SignedXml signedXml = new SignedXml();

Création de l'élément XML contenant les données à signer ; XmlElement element = xmlDoc.CreateElement("شھادة_Certificate", xmlDsigUrl); element.InnerText = Convert.ToBase64String(File.ReadAllBytes("c:\\Users\\user\\Desktop\\user.cer"));


On récupère la clé utilisée à la signature du certificat signataire(certAdmin.cer) ; signedXml.SigningKey = certificate.PrivateKey; Enfin on doit créé la référence des données à signer, générer et sauvegarder la signature dans un fichier appelé enveloping.xml . Le code source c# complet doit être comme suit ; //Creation d'un nouveau X509 store appellé teststore à partir du local certificate

store.

X509Store store = new X509Store("teststore", StoreLocation.CurrentUser);


44

store.Open(OpenFlags.ReadWrite);

// X509Certificate2 certificate = new X509Certificate2();

//Creation des certificats à partir du fichier du certificat.

X509Certificate2 certificate = new

X509Certificate2("c:\\Users\\user\\Desktop\\certAdmin.cer");

//création d'une collection et l'ajout des deux certificat.

X509Certificate2Collection collection = new X509Certificate2Collection();

collection.Add(certificate);

//Ajout des certificats dans le store.

store.Add(certificate);

store.AddRange(collection);

X509Certificate2Collection storecollection =

(X509Certificate2Collection)store.Certificates; Console.WriteLine("Store name: {0}", store.Name);

Console.WriteLine("Store location: {0}", store.Location);

foreach (X509Certificate2 x509 in storecollection)

{

Console.WriteLine("certificate name: {0}", x509.Subject);

}

string xmlDsigUrl = SignedXml.XmlDsigNamespaceUrl;

// Création de l'élément XML contenant les données à signer

XmlDocument xmlDoc = new XmlDocument();

XmlElement element = xmlDoc.CreateElement("شھادة_Certificate", xmlDsigUrl); element.InnerText =

Convert.ToBase64String(File.ReadAllBytes("c:\\Users\\user\\Desktop\\user.cer"));

//insertion de la photo

XmlElement element_photos = xmlDoc.CreateElement("صورة_Picture", xmlDsigUrl); element_photos.InnerText =

Convert.ToBase64String(File.ReadAllBytes("c:\\Users\\user\\Desktop\\Photos.jpg"));

element.AppendChild(element_photos);

//insertion du nom

XmlElement element_Nom = xmlDoc.CreateElement("سم�ا_FirstName", xmlDsigUrl); element_Nom.InnerText = "لمين"; element.AppendChild(element_Nom);

//insertion du prénom

XmlElement element_PreNom = xmlDoc.CreateElement("اللقب_LastName", xmlDsigUrl); element_PreNom.InnerText = "واجعوط"; element.AppendChild(element_PreNom);


// Instanciation de l'objet SignedXml SignedXml signedXml = new SignedXml();


45

// Définition de la clé de signature

signedXml.SigningKey = certificate.PrivateKey;

// Ajout des informations du certificat utilisé pour signer

KeyInfo keyInfo = new KeyInfo();

keyInfo.AddClause(new KeyInfoX509Data(certificate));

signedXml.KeyInfo = keyInfo;

// Ajout des données à signer

DataObject dataObject = new DataObject();

dataObject.Data = xmlDoc.ChildNodes;

dataObject.Id = "Content_محتوى"; signedXml.AddObject(dataObject);

// Création et ajout de la référence sur les données à signer

Reference reference = new Reference();

reference.Uri = "#Content_محتوى"; signedXml.AddReference(reference);

// Génération et sauvegarde de la signature

signedXml.EncryptedXml.Encoding = System.Text.Encoding.GetEncoding("iso-8859-6"); signedXml.ComputeSignature();

XmlElement signature = signedXml.GetXml();

//création de la signature avec une déclaration pour le codage Arabe

XmlDocument xmlDoc_finale = new XmlDocument();

XmlDeclaration entete_arabe = xmlDoc_finale.CreateXmlDeclaration("1.0", "ISO-8859-6", "yes");

xmlDoc_finale.PrependChild(entete_arabe);

xmlDoc_finale.AppendChild(xmlDoc_finale.ImportNode(signature,true));

System.Text.Encoding encodingEcriture = System.Text.Encoding.GetEncoding("iso-8859-

6");

using (XmlTextWriter writer = new XmlTextWriter("c:\\Users\\user\\Desktop\\enveloping.xml", encodingEcriture))

{

xmlDoc_finale.WriteTo(writer);

}

Le contenu résultant du fichier enveloping.xml est comme suit :

<?xml version="1.0" encoding="ISO-8859-6" standalone="yes" ?>

- <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">

- <SignedInfo> <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-

20010315" /> <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />

- <Reference URI="#Content_محتوى"> <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />

<DigestValue>W2rhZbELgfH0z3uyPtumeF1n+HM=</DigestValue>

</Reference>


46

</SignedInfo>

<SignatureValue>oFx3KnHGOVckGFKNjdQ/CAt5L2i5Mksgw3Q9Z9IpszN/yg/7FMa32gJqy

cZiTzQ9XV6yss9Ec1xRZxr9kEhyHkHiyR3GnIexSqShZXmQ1VWtZtvn2YyPJ9l6Pv/U42LxbTjbE04hU2rdaHc87cbQSm6DObIXWmJjr/QEsX+Hp74=</SignatureValue>

- <KeyInfo> - <X509Data>

<X509Certificate>MIIF+DCCBOCgAwIBAgIKYXrpowAAAAAAAjANBgkqhkiG9w0BAQUFADBFMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFTATBgoJkiaJk/IsZAEZFgV1c3RoYjEVMBM

GA1UEAxMMQ0EgdXN0aGIgZUlEMB4XDTEwMDYxMjIyMzAzMloXDTExMDYxMjIyMzAzMlo

wVzEVMBMGCgmSJomT8ixkARkWBWxvY2FsMRUwEwYKCZImiZPyLGQBGRYFdXN0aGIxDjAMBgNVBAMTBVVzZXJzMRcwFQYDVQQDEw5BZG1pbmlzdHJhdGV1cjCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAqFokTDfbZSrcpHLryDCv8hdXavhQpfaAsOHbu5iB5baS1+D

q4P7TknqyEgQqBO279lpJ7LYYvaZUCfUBr166956d/McGVkZ2fHQZ8ZqsfhS8SZ+S72BAZK

O2fi0KZp89o5ZHPAYTR/CJrOgSH+qo3TIJ8EQ+OiPOvBaDktTbqiUCAwEAAaOCA1owggNWMAsGA1UdDwQEAwIFoDBEBgkqhkiG9w0BCQ8ENzA1MA4GCCqGSIb3DQMCAgIAgDAO

BggqhkiG9w0DBAICAIAwBwYFKw4DAgcwCgYIKoZIhvcNAwcwNQYDVR0lBC4wLAYKKw

YBBAGCNwoDAQYKKwYBBAGCNwoDBAYIKwYBBQUHAwQGCCsGAQUFBwMCMB0GA1UdDgQWBBRANZ/DFJKxZRi8IJ5tu4otvOr/FzAfBgNVHSMEGDAWgBSGuTqxH+PwLARxExIR

3c+lRJSUfzCCAQYGA1UdHwSB/jCB+zCB+KCB9aCB8oaBtWxkYXA6Ly8vQ049Q0ElMjB1c3RoYiUyMGVJRCxDTj11c3RoYixDTj1DRFAsQ049UHVibGljJTIwS2V5JTIwU2VydmljZXMsQ

049U2VydmljZXMsQ049Q29uZmlndXJhdGlvbixEQz11c3RoYixEQz1sb2NhbD9jZXJ0aWZpY2F0ZVJldm9jYXRpb25MaXN0P2Jhc2U/b2JqZWN0Q2xhc3M9Y1JMRGlzdHJpYnV0aW9uU

G9pbnSGOGh0dHA6Ly91c3RoYi51c3RoYi5sb2NhbC9DZXJ0RW5yb2xsL0NBJTIwdXN0aGIlMjBlSUQuY3JsMIIBHAYIKwYBBQUHAQEEggEOMIIBCjCBrwYIKwYBBQUHMAKGgaJsZGF

wOi8vL0NOPUNBJTIwdXN0aGIlMjBlSUQsQ049QUlBLENOPVB1YmxpYyUyMEtleSUyMFNlc

nZpY2VzLENOPVNlcnZpY2VzLENOPUNvbmZpZ3VyYXRpb24sREM9dXN0aGIsREM9bG9jYWw/Y0FDZXJ0aWZpY2F0ZT9iYXNlP29iamVjdENsYXNzPWNlcnRpZmljYXRpb25BdXRob3J

pdHkwVgYIKwYBBQUHMAKGSmh0dHA6Ly91c3RoYi51c3RoYi5sb2NhbC9DZXJ0RW5yb2x

sL3VzdGhiLnVzdGhiLmxvY2FsX0NBJTIwdXN0aGIlMjBlSUQuY3J0MCkGCSsGAQQBgjcUAgQcHhoAQQBkAG0AaQBuAGkAcwB0AHIAYQB0AG8AcjA1BgNVHREELjAsoCoGCisGAQQBgjcUAgOgHAwaQWRtaW5pc3RyYXRldXJAdXN0aGIubG9jYWwwDQYJKoZIhvcNAQEFBQADg

gEBADpgejhB1IVHhOcz1mgS0aTUK6JYGc2hHbkKI9rWvnzU3lbLx17UVr0GieRKuuXyou+

LvmoMAU5V+D2mlOhhumD2kFp56gW0uoT0amlXw1q80npUiDfCglOYiWuM5qSSm5wvs99V+PA+XXRHUl/wZkc/6lXN/rEho253gmHWzd8cXVQ8Z9E9yGabqP3eGOIorFE1tAUUz9S

NM2tD9nappBGlEobpMEn2Gs8tnAhQYdkYqOgyMkzuPWsxMwqiPoMYKsWi8+L36IMOnL4

sAV5xKRIjbDh5EK+4M6zdMuDFO/w7Mb+3emgkzL+AHz7Ut3tTs/nlVrS+XhtWJ221UZ4AopI=</X509Certificate>

</X509Data> </KeyInfo>

- <Object Id="Content_محتوى">

<Certificate_شھادة> - MIIF2jCCBMKgAwIBAgIKYX67ewAAAAAAAzANBgkqhkiG9w0BAQUFADBFMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFTATBgoJkiaJk/IsZAEZFgV1c3RoYjEVMBMGA1UEAxMMQ0Eg

dXN0aGIgZUlEMB4XDTEwMDYxMjIyMzQ0MloXDTExMDYxMjIyMzQ0MlowVzEVMBMGCgmSJomT8ixkARkWBWxvY2FsMRUwEwYKCZImiZPyLGQBGRYFdXN0aGIxDjAMBgNVBAMTBVVzZXJzMRcwFQYDVQQDEw5BZG1pbmlzdHJhdGV1cjCBnzANBgkqhkiG9w0BAQEFAAOBj

QAwgYkCgYEA4h3W5tScIMPxXxZSm+LlVPBBJELeeJai09efOHDLLfqkFG8pwpPRPHHSAY

eqRZzeg/D+fgvC2BYpgQc8DXPsPkxuJAcf6lqjt7VlRb/03D1oZ20LD2PgmlW5045pwTrRAzqgKtd5so/wiDP4JuZd/MtahD5IWng8i5MlpQDX3NsCAwEAAaOCAzwwggM4MAsGA1UdD


47

wQEAwIFoDBEBgkqhkiG9w0BCQ8ENzA1MA4GCCqGSIb3DQMCAgIAgDAOBggqhkiG9w0DBAICAIAwBwYFKw4DAgcwCgYIKoZIhvcNAwcwKQYDVR0lBCIwIAYKKwYBBAGCNwoDBAYIKwYBBQUHAwQGCCsGAQUFBwMCMB0GA1UdDgQWBBRa8wn23hS/hr8vut0ki7kcPTxe

njAfBgNVHSMEGDAWgBSGuTqxH+PwLARxExIR3c+lRJSUfzCCAQYGA1UdHwSB/jCB+zCB+KCB9aCB8oaBtWxkYXA6Ly8vQ049Q0ElMjB1c3RoYiUyMGVJRCxDTj11c3RoYixDTj1DRFAsQ049UHVibGljJTIwS2V5JTIwU2VydmljZXMsQ049U2VydmljZXMsQ049Q29uZmlndXJhd

GlvbixEQz11c3RoYixEQz1sb2NhbD9jZXJ0aWZpY2F0ZVJldm9jYXRpb25MaXN0P2Jhc2U/b

2JqZWN0Q2xhc3M9Y1JMRGlzdHJpYnV0aW9uUG9pbnSGOGh0dHA6Ly91c3RoYi51c3RoYi5sb2NhbC9DZXJ0RW5yb2xsL0NBJTIwdXN0aGIlMjBlSUQuY3JsMIIBHAYIKwYBBQUHAQEEggEOMIIBCjCBrwYIKwYBBQUHMAKGgaJsZGFwOi8vL0NOPUNBJTIwdXN0aGIlMjBlSUQs

Q049QUlBLENOPVB1YmxpYyUyMEtleSUyMFNlcnZpY2VzLENOPVNlcnZpY2VzLENOPUNvbmZpZ3VyYXRpb24sREM9dXN0aGIsREM9bG9jYWw/Y0FDZXJ0aWZpY2F0ZT9iYXNlP29iamVjdENsYXNzPWNlcnRpZmljYXRpb25BdXRob3JpdHkwVgYIKwYBBQUHMAKGSmh0dHA6

Ly91c3RoYi51c3RoYi5sb2NhbC9DZXJ0RW5yb2xsL3VzdGhiLnVzdGhiLmxvY2FsX0NBJTIw

dXN0aGIlMjBlSUQuY3J0MBcGCSsGAQQBgjcUAgQKHggAVQBzAGUAcjA1BgNVHREELjAsoCoGCisGAQQBgjcUAgOgHAwaQWRtaW5pc3RyYXRldXJAdXN0aGIubG9jYWwwDQYJKoZI

hvcNAQEFBQADggEBAJu0Kz7COY2MLGNf7zn5mX4fzCZqJVReD8BalFZU4rzdmIWtgqrT/66sMxGvoC89zSGhrqHia+Wza8DCEgL6uJp1sDibBO5NhAJoCAOnmEBEx1gqi9sC9keVZuUP

cGL6SXka4ILVl4GpB2Ch99I5CcxPXubpqjTMkprSE4wBil/mtZh8I42mw9Ha6P3XDOfwHJQdRbAQsdUNvV3T03Tn+4/fdozqtRz3vT9Ptp8lsLzsZL0+wxnCgGUx5I9fgmKypbEmGL+Y

njDlfziHZ7kNbbeDKp8R1Hz8Wz77/PiGbCtaEr1Mm7DnMel0ldyvX+N+LX/eGW+knzDo+7

9Hz/+GWjE=

Picture>/9j/4AAQSkZJRgABAQEAYABgAAD/2wBDAAgGBgcGBQgHBwcJCQgKDBQN_صورة>

DAsLDBkSEw8UHRofHh0aHBwgJC4nICIsIxwcKDcpLDAxNDQ0Hyc5PTgyPC4zNDL/2wBDAQkJCQwLDBgNDRgyIRwhMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMj

IyMjIyMjIyMjL/wAARCACCAGQDASIAAhEBAxEB/8QAHwAAAQUBAQEBAQEAAAAAAAAAAAECAwQFBgcICQoL/8QAtRAAAgEDAwIEAwUFBAQAAAF9AQIDAAQRBRIhMUEGE1FhByJxFDKBkaEII0KxwRVS0fAkM2JyggkKFhcYGRolJicoKSo0NTY3ODk6Q0RFRkdISUpTVFVWV

1hZWmNkZWZnaGlqc3R1dnd4eXqDhIWGh4iJipKTlJWWl5iZmqKjpKWmp6ipqrKztLW2t7i

5usLDxMXGx8jJytLT1NXW19jZ2uHi4+Tl5ufo6erx8vP09fb3+Pn6/8QAHwEAAwEBAQEBAQEBAQAAAAAAAAECAwQFBgcICQoL/8QAtREAAgECBAQDBAcFBAQAAQJ3AAECAxEEBSEx

BhJBUQdhcRMiMoEIFEKRobHBCSMzUvAVYnLRChYkNOEl8RcYGRomJygpKjU2Nzg5OkNER

UZHSElKU1RVVldYWVpjZGVmZ2hpanN0dXZ3eHl6goOEhYaHiImKkpOUlZaXmJmaoqOkpaanqKmqsrO0tba3uLm6wsPExcbHyMnK0tPU1dbX2Nna4uPk5ebn6Onq8vP09fb3+Pn6/9oADAMBAAIRAxEAPwD3+iiigAooooAKKKKACiiigAooooAKKKKACiiigAooooAKKKKACiiigAoo

ooAKKKKACiiigAooooAKKKKACiiigAoriPDGv6zffEXxdoupXFvJbaYLb7MsEOwASKz5OSSW

wVB5x8vAGa7egAoo6VVsNRtNTgaeynSeFZHi8xDlSykqwB74II/CgC1RRRQAUUUUAFFFFABRRRQBzvj5C3w+8QOss0MkWnzzJJBK0bKyIWU7lIPUDjoRweK8+0vS5rfS/hjqmhqy6j

OLeG9ZXb97a+TmTzOeQoHy54UkAYr0TxwkkvgPX4IYZp5p9OuIYooYmkd3aNgoCqCeSRVT4d6dDY+B9FB077HeLZRR3AktjDJvCgMGBAJ5FAHKadpVjq/xW+JFvqFslzAbexBjkGV5t

+uPX0PUVh+H9Z1bUfBPw2j1CeWXTb29mi1G4eTG/ZI6wRue4YgDB+9tAOc8+wR+H9Fi

nuZ49IsEmul23Ei2yBph6OcfMPrTrfQ9Is9PfT7bSrGCycktbxW6LG31UDBoA4jw9HK3xP8AFmiwRmXw0ttD5kDD9zDcMq5jQYxhlJZgO/1rivBcI0v4AXOu+H7C3PiXyJ4zcQov2gJ5+GO

evyp8wH+yPavdre2gtIhFbQRwxg5CRoFH5CobXS9PsZZ5bSwtbeS4bdM8UKoZD6sQOT9aAPNb7/iXeIvh63hh2Z75T9rWJyy3NrtQvLK3O4jOQxOST3zU7z6ppni6K5urC31bTLrWjBb3

9vIyXdozEqY5EIG6NSCODjaN3Nei2unWNiztaWVvbs/3jFEqFuc84HPNCafZR3bXaWduty/3pliAc/VsZoAs0UUUAFFFFABRRRQAUUUUAFFFFABRRRQAUUUUAFFFFABRRRQAUUUUAF

FFFABRRRQAUUUUAFFFFABRRRQAUUUUAFFFFABRRRQAUUUUAFFFFABRRRQAUUUUAFFF

FABRRRQAUUUUAFFFFABRRRQAUUUUAFFFFABRRRQAUUUUAFFFFABRRRQAUUUUAFFFFABRRRQAUUUUAf/Z</صورة_Picture>

<FirstName_ا�سم/>لمين<FirstName_ا�سم>


48

<LastName_اللقب/>واجعوط<LastName_اللقب>

<Certificate_شھادة/> </Object> </Signature>

Voici le code c# qui vérifie la signature xml ; // Chargement du XML contenant la signature

XmlDocument xmlDoc = new XmlDocument();

xmlDoc.Load("enveloping.xml"); // Instanciation de l'objet SignedXml

SignedXml signedXml = new SignedXml();

// Chargement de la signature

signedXml.LoadXml(xmlDoc.DocumentElement);

// Vérification

bool valid = signedXml.CheckSignature();

Si la variable valid est vrai alors la signature est vérifiée.

6 Proposition d’un modèle de carte d’identité électronique Algérienne : • Voici le format proposé pour la carte d’identité électronique Algérienne :

figure3.7 : Proposition d’un modèle de carte d’identité électronique Algérienne

7 Conclusion: L’implémentation de la carte d’identité électronique repose sur plusieurs outils informatiques (PKI,

SDK, cryptographie,...), ces outils se complètent et collaborent afin de garantir le bon fonctionnement des cartes eID mais aussi offrir un niveau de sécurité remarquable, tandis que la signature xml elle répond non seulement à la sécurité de données mais aussi elle offre une solution au problème de souveraineté de l’état puisque le xml permet l’encodage des lettres arabes et ce qui va augmenter le niveau de sécurité puisque on augmente le nombre de combinaison possible et donc automatiquement l’augmentation de la complexité de calcul pour les cryptanalyses.

49

Conclusion générale La carte d’identité électronique est un moyen d'identification sur jusqu'a

maintenant, elle peut être utilisée dans plusieurs applications informatique mais aussi dans les activités quotidiennes afin de pouvoir offrir un certain niveau de sécurité mais aussi pour faciliter la vie du citoyen algérien, puisque:

� Elle est petite, maniable et solide par rapport à l'ancienne carte

� Elle fait gagner du temps et des efforts :

• vous ne devez plus vous rendre à un guichet pour commander toute une série de documents administratifs ; vous pouvez les commander par Internet 24h/24 et 7 jours/7 ;

• vous pouvez remplir de nombreux formulaires via le web: votre déclaration fiscale, un extrait du registre de la population.

• eVote ; vote électronique

� Elle ouvre des portes :

• accès à des endroits: par exemple des bâtiments d’une entreprise; • accès à des réseaux : des réseaux d’entreprises pour télétravailleurs et à

vos données enregistrées dans des dossiers des autorités.

� Elle introduit un identique ID (matricule) afin d’élaborer un registre national, cet ID peut être utilisé:

Pour faciliter et alléger les taches administratives par exemple pour retirer un extrait de naissance ou résidence etc…, il suffit de fournir l’ID de la personne sans fournir le carnet de famille ou facture de l’électricité ou autre papier.

50

Références bibliographiques [ARPT 2007]: Décret exécutif n° 2007-162, 30 mai 2007 URL: http://www.arpt.dz/Docs/3Actualite/Communication/8-9_12_2009/Communications/Panel1/Pan1P1Fr.pdf [BEID 3.5]: Belgian electronic identity card URL: http://eid.belgium.be [BER] : Plutarch, Lives (ed. Bernadotte Perrin) URL: http://www.perseus.tufts.edu/hopper/text?doc=Plut.+Lys.+19.1&redirect=true [eID 08]: ENISA (European Network and Information Security Agency), août 2008 URL: http://www.enisa.europa.eu/act/it/eid/pet [IETF 99]: Internet Engineering Task Force, 1999, RFC-2560 URL: http://www.ietf.org/rfc/rfc2560.txt [ISO/IEC et ITU-T 84] : Recommandations ASN.1, ISO/IEC et ITU-T 1984

URL:http://www.itu.int/ITU-T/studygroups/com17/languages/ [ISO 89]: Norme ISO 7498-2 URL: http://www.iso.org/iso/fr/catalogue_detail.htm?csnumber=14256 [ISO/IEC et ITU-T 84] : Recommandations ASN.1, ISO/IEC et ITU-T 1984 URL:http://www.itu.int/ITU-T/studygroups/com17/languages/ [ITU 88] : Recommandation x.509 ITU-T, 1988 URL: http://www.itu.int/rec/T-REC-X.509 [JPEG 99] : Joint Photographic Experts Group 1999. Son vrai nom ISO/IEC IS 10918-1 | ITU-T Recommandation T.8 URL: http://www.itu.int/itudoc/itu-t/aap/sg16aap/history/t851/t851s.html [ISO/IEC 7816]: International Standardization Organisation / International Electrothecnical Commission URL: http://www.iso.org [MICL 09]: Ministère de l’Intérieur et des Collectivités Locales URL: http://www.interieur.gov.dz [MYE 99]: M. Myers, et al, Online Certificate Status Protocol - OCSP, RFC 2543, IETF, Juin 1999 URL: http://www.ietf.org/rfc/rfc2560.txt [THAWTE 95]: thawte Autorité de Certification URL: http://www.thawte.fr [W3C 03]: World Wide Web Consortium. 2003 URL: http://www.w3.org/TR/XAdES/ [W3C 08]: World Wide Web Consortium. 2008 URL: http://www.w3.org/2008/xmlsec/

:لخصم

ومن ھنا تأتي الحاجة للتعرف على . أصبح ا�تصال ا�لكتروني مھم جدا في السنوات ا�خيرةتحتوي على شريحة الكترونية eID: بطاقة الھوية ا�لكترونية . ا�شخاص من خ*ل نظام الكتروني

.يحمي البيانات الشخصية على النحو ا�مثلeID يقدم ، ذلك إلى وبا�ضافة. يسمح لنا حل كثير من المسائل ا�دارية من خ*ل جھاز الكمبيوتر eID لكترونية الوثائق ارسال: ا�خرى الخيارات من مجموعة� جلسات وتأمين ، ا�لكتروني والبريد ا

. بك الخاصة الشركة شبكة في سجل إلى والوصول ، ل;طفال الدردشة

Résumé:

La communication électronique est devenue très importante ces dernières

années. D’où le besoin de pouvoir identifier les personnes via un système

électronique. La carte d’identité électronique: eID contient une puce

électronique qui protège les données personnelles de manière optimale.

L’eID nous permet de régler de nombreuses questions administratives

depuis notre ordinateur. En outre, l’eID nous offre une foule d’autres

possibilités: envoyer des documents électroniques et des e-mails

recommandés, sécuriser les séances de chat des enfants, accéder au parc

à conteneurs ou même vous identifier sur le réseau informatique de votre

entreprise.

Abstract:

Electronic communication has become very important in recent years.

Hence the need to identify individuals through an electronic system. The

Electronic Identity Card: eID contains an electronic chip that protects

personal data optimally.

EID allows us to solve many administrative issues from your computer. In

addition, the eID offers a host of other options: send electronic

documents and e-mail recommended, secure chat sessions for children,

access to the container yard or even log into the network of your company.

Technology

La carte d'identité electronique (e id)