4 cryptolib - david decroix

220 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
220
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
2
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

4 cryptolib - david decroix

  1. 1. PROJETS ET SERVICES Cryptolib CPS V5 Point d’actualité Journée Nationale des Industriels – 13 Novembre 2014
  2. 2. Cryptolib CPS v5 - Rappels Caractéristiques principales de la Cryptolib CPS v5 : • Installation sur lecteur bi-fente PSS comme sur lecteur PC/SC sans adaptation particulière. La Cryptolib CPS v5 réconcilie les filières GALSS et full PC/SC ce qui réduit la complexité du poste de travail, le nombre de livrables et les charges de maintenance. • Compatibilité ascendante. Elle intègre les composants de la Cryptolib CPS v4. Elle est donc entièrement compatible avec les installations existantes. • Usage du volet sans contact de la CPS3. L’accès aux fonctionnalités sans contact permet aux établissements de santé de déployer des solutions de mobilité attendues par ces établissements (ex : authentification applicative via roaming de session ou d’application). • Existe en version 64 bits. Les navigateurs utilisés peuvent être lancés en mode 64 bits. De même ceci permet aux éditeurs de proposer à leurs utilisateurs des versions 64 bits de leurs logiciels. Ce mode 64 bits est également requis pour les utilisations de type « sécurisation du SI » (exemple : Smart Card Logon) pour lesquels des mécanismes natifs intégrés au système sont mis en œuvre. • Renforce le niveau de sécurité des opérations d’authentification et de signature par la mise en œuvre du volet IAS. L’utilisation du volet IAS garantit une sécurité renforcée par la possibilité de mise en œuvre de taille de clefs supérieures et d’algorithmes de meilleur qualité (SHA2). En lien avec les mécanismes IAS, le principe de cloisonnement applicatif garantit qu’aucun logiciel ne peut mettre en œuvre les fonctionnalités de la carte CPS sans l’autorisation du porteur. Journée Nationale des Industriels - 13 Novembre 2014 2
  3. 3. Cryptolib CPS v5 - Généralisation • 28/10/2014 : Communication large ASIP Santé confirmant la généralisation de la Cryptolib CPS v5 • Actualité en première page du site esante.gouv.fr • Campagne d’e-mailing ciblant l’ensemble des consommateurs de Cryptolib (éditeurs, intégrateurs, établissements de santé, …). • Ce qu’il faut retenir : • La Cryptolib CPS v5 est disponible pour tous les environnements couverts dans l’espace « Intégrateurs CPS » : integrateurs-cps.asipsante.fr • La Cryptolib CPS v5 a été qualifiée pour l’ensemble des usages terrain ce qui inclus ceux de l’Assurance Maladie. • La version 4 de la Cryptolib CPS n’est plus diffusée par l’ASIP Santé et n’évoluera plus. • Le support sur la version 4 reste assuré jusqu’à fin mars 2015. . Journée Nationale des Industriels - 13 Novembre 2014 3
  4. 4. Cryptolib CPS v5 – Etat d’avancement 4Journée Nationale des Industriels - 13 Novembre 2014 2013 T4 T1 T2 Juil. 2014 Cryptolib CPS v5 Mise à disposition des éditeurs pour test Accompagnement des éditeurs Août Sept. Oct. Nov. par la facturation par Ordres Transparents 1 Documentation technique Cf. page suivante 3 Généralisation Cryptolib CPS v5 par les services de l’ASIP Santé DMP, MS Santé 2
  5. 5. 5 • Référentiel documentaire technique disponible sur integrateurs-cps.asipsante.fr • Présentation détaillée relative à la Cryptolib v5 et à son déploiement : http://integrateurs-cps.asipsante.fr/fichiers/141024-ASIP-Presentation_Deploiement_Cryptolib_v5.pdf • Documents axés sur la mise en œuvre des nouveaux composants et nouvelles fonctionnalités de la Cryptolib v5 : Cryptolib CPS v5 – Référentiel documentaire (1/2) Journée Nationale des Industriels - 13 Novembre 2014 Note Technique décrivant précisément les points d’attention quant à la migration technique de l’utilisation des composants de la Cryptolib CPS v4 vers ceux de la Cryptolib CPS v5, notamment depuis le composant API CPS.  Note publiée en décembre 2013 Mise à jour de la Note Technique précédente aidant les éditeurs à appréhender les impacts des standards industriels actuels dans leur architecture logicielle, notamment lors de la migration décrite au point précédent :  Note publiée en septembre 2014 : ASIP-PTS-PSCE_NP_Cryptolib-CPS-v5-Impacts-migration- CPS2Ter-CPS3_20140912_v1.2.6. Note Technique aidant à la mise en œuvre de solutions basées sur les capacités sans-contact de la carte CPS3 :  Note à publier. 1 2 3
  6. 6. 6Journée Nationale des Industriels - 13 Novembre 2014 • Autres documents (liste non-exhaustive) : Guide de mise en œuvre technique destiné plus spécifiquement aux chefs de projets de maitrises d’œuvre et aux architectes techniques et applicatifs :  ASIP-PTS_Guide-de-mise-en-oeuvre-d-une-authentification-forte-avec-une- carte-CPS_20131217_v0.2.4. décembre 2012 Note Technique décrivant les mécanismes de détection des composants de Cryptolib CPS installés :  ASIP-PTS-PSCE_NP_Guide-implementation-Detection-Cryptolib- CPS_20140305_v1.0.0. mars 2014 Manuel de programmation à l’intention des éditeurs :  ASIP-PTS-PSCE_MP_Cryptolib-CPS-v5-Manuel-de- programmation_20131016_v1.5.0. octobre 2013 Note Technique décrivant les mécanismes de détection de l’arrachage de la carte CPS de son lecteur :  ASIP-PTS-PSCE_NP_Guide-implementation-detection-arrachage- CPS_20131017_v1.0.3. octobre 2013 Cryptolib CPS v5 – Référentiel documentaire (2/2)
  7. 7. 7Journée Nationale des Industriels - 13 Novembre 2014 Cryptolib CPS v5 – Bonnes pratiques d’utilisation de la documentation ASIP Santé Le « Manuel d’Installation et d’utilisation de la Cryptolib CPS v5 » • Contient des recommandations d’intégration et de conception • Contient un exemple de code C# requêtant sur l’usage de la clé • Contient du code exemple Java Le document « Cryptolib-CPS-v5-Impacts-migration-CPS2Ter-CPS3 » • Reprend des exemples de mauvaises pratiques • Les commente au regard des conseils de conception et d’architecture qui y sont par ailleurs dispensés Les codes exemples de l’ASIP Santé sont fournis à titre documentaire. Ils ne sont pas destinés à être repris tel quel. Il convient avant tout de se les approprier et de les adapter aux contraintes de production et de maintenance propres à chaque solution.
  8. 8. 8Journée Nationale des Industriels - 13 Novembre 2014 Cryptolib CPS v5 – Bonnes pratiques d’utilisation des certificats Les applications doivent discriminer correctement les certificats au sein des magasins ou au travers des API afin d’en faire bon usage. Pour rappel, cette opération doit se faire uniquement sur la base de l’examen du « KeyUsage » : Certificat d’authentification Certificat de signature Les méthodes de discrimination empiriques de certificats basées sur l’analyse de numéro de série ou de longueurs de clé par exemple sont à proscrire.
  9. 9. 9 ANNEXES Journée Nationale des Industriels - 13 Novembre 2014
  10. 10. 10 Annexe 1 – Migration Cryptolib CPS v4 vers v5 (1/3) Journée Nationale des Industriels - 13 Novembre 2014 Avant le déploiement : Lorsque les Cryptolibs CPS déployées sont en version 4, les Applications s’appuient au choix sur : • L’API CPS • L’interface PKCS#11 • Ou les mécanismes du système d’exploitation : CSP (Windows), Tokend (Mac OS X).
  11. 11. 11 Annexe 1 – Migration Cryptolib CPS v4 vers v5 (2/3) Journée Nationale des Industriels - 13 Novembre 2014 Début du déploiement : Au démarrage du déploiement, la compatibilité ascendante est garantie par l’intégration dans l’installeur v5 des composants v4 suivants : • L’API CPS • L’interface PKCS#11 • Les mécanismes du système d’exploitation v5 sont entièrement compatibles. Ainsi le passage de la v4 à la v5 n’impacte pas les LPS installés sur les postes de travail.
  12. 12. 12 Annexe 1 – Migration Cryptolib CPS v4 vers v5 (3/3) Journée Nationale des Industriels - 13 Novembre 2014 Suite du déploiement : Dans un deuxième temps, les éditeurs et intégrateurs doivent adapter leurs logiciels afin de leur faire utiliser le volet IAS de la CPS3 à travers les services de la Cryptolib CPS V5. Les éditeurs ayant déjà fait les choix d’implémentation recommandés par Microsoft, Apple, l’ASIP Santé et le GIE SESAM-VITALE ont une très faible charge de développement, i.e. utilisation des interfaces PKCS#11 et CSP. Les navigateurs ne sont pas impactés.
  13. 13. 13 Annexe 2 – Cloisonnement applicatif (1/2) Journée Nationale des Industriels - 13 Novembre 2014 Chaque application et chaque logiciel doit authentifier le porteur afin d’utiliser les fonctionnalités cryptographiques de la carte CPS3 volet IAS à travers la Cryptolib CPS v5. Ce cloisonnement garantit qu’aucun logiciel « indésirable » ne peut accéder à la CPS sans l’autorisation du porteur. Les choix d’architecture d’invocation offerts par la Cryptolib CPS v5 sont : • soit par l’utilisation de l’interface cryptographique système (interface CSP sous Windows). • soit en utilisant directement la librairie au standard PKCS11. Les autres architectures, en accord avec le GIE SESAM-Vitale, comme par exemple l’utilisation de l’API CPS, ne sont pas recommandées.
  14. 14. 14Journée Nationale des Industriels - 13 Novembre 2014 Suivant l’architecture globale choisie pour le logiciel, le cloisonnement applicatif peut avoir des conséquences ergonomiques, notamment une augmentation des demandes de code porteur. Lorsque l’architecture globale d’un logiciel est hétérogène dans ses modalités d’accès à la Cryptolib CPS, les contextes cryptographies de chaque accès sont alors désunis. Le cloisonnement applicatif impose alors une réauthentification du porteur par mode d’accès. Une méthode unique d’accès aux services cryptographiques de la carte CPS doit être choisie. Elle doit être appliquée à l’ensemble du logiciel. Annexe 2 – Cloisonnement applicatif (2/2)
  15. 15. PROJETS ET SERVICES Merci de votre attention

×