NF EN 14890-1

NF EN 14890-1

juillet 2009
Norme Annulée

Interface applicative des cartes à puces utilisées comme dispositifs de création de signature numérique sécurisés - Partie 1 : services de base

Le présent document décrit les services obligatoires pour l'utilisation de cartes à puces comme SSCD sur la base du CWA 14890.La présente partie spécifie l'interface applicative, pendant la phase d'utilisation, des cartes à puces utilisées comme dispositifs de création de signature sécurisées (SSCD), selon les termes de la Directive européenne 1999/93 relative aux signatures électroniques, cette interface applicative devant permettre l'interopérabilité des cartes et leur utilisation comme SSCD à un échelon national ou européen.

Voir plus
Visualiser l'extrait
Informations générales

Collections

Normes nationales et documents normatifs nationaux

Date de publication

juillet 2009

Nombre de pages

219 p.

Référence

NF EN 14890-1

Codes ICS

35.030   Sécurité des technologies de l'information
35.040.50   Techniques automatiques d'identification et de saisie de données
35.240.15   Cartes d'identification. Cartes à puce. Biométrie

Indice de classement

Z15-801-1

Numéro de tirage

1 - 16/07/2009

Parenté européenne

EN 14890-1:2008
Résumé
Interface applicative des cartes à puces utilisées comme dispositifs de création de signature numérique sécurisés - Partie 1 : services de base

Le présent document décrit les services obligatoires pour l'utilisation de cartes à puces comme SSCD sur la base du CWA 14890. La présente partie spécifie l'interface applicative, pendant la phase d'utilisation, des cartes à puces utilisées comme dispositifs de création de signature sécurisées (SSCD), selon les termes de la Directive européenne 1999/93 relative aux signatures électroniques, cette interface applicative devant permettre l'interopérabilité des cartes et leur utilisation comme SSCD à un échelon national ou européen.
Norme remplacée par (1)
NF EN 419212-1
janvier 2015
Norme Annulée
Interface applicative des cartes à puces utilisées comme dispositifs de création de signature numérique sécurisés - Partie 1 : services de base

Le présent document spécifie les mécanismes pour l'utilisation de cartes à puce comme dispositifs de création de signature sécurisée, qui recouvrent : - la création de la signature ; - la vérification de l'utilisateur ; - l'authentification par mot de passe ; - l'authentification du dispositif ; - la mise en place d'un canal sécurisé. Les mécanismes spécifiés conviennent à d'autres objectifs, tels que les services dans le cadre des IAS.

Sommaire
  • Avant-propos
    6
  • 1 Domaine d'application
    7
  • 2 Références normatives
    8
  • 3 Termes et définitions
    8
  • 4 Symboles et abréviations
    11
  • 5 Application de signature
    14
  • 5.1 Séquence d'exécution de l'application
    14
  • 5.2 Environnement sécurisé contre environnement non sécurisé
    16
  • 5.3 Sélection de l'application ESIGN
    16
  • 5.4 Sélection de la CIA
    17
  • 5.5 Utilisation concomitante de l'application de signature
    17
  • 5.6 Sélection de l'environnement de sécurité
    18
  • 5.7 Sélection de clés
    18
  • 5.8 Services de sécurité de base
    19
  • 6 Vérification d'utilisateur
    20
  • 6.1 Généralités
    20
  • 6.2 Vérification d'utilisateur basée sur la connaissance
    20
  • 6.3 Vérification biométrique de l'utilisateur
    24
  • 7 Service de signature numérique
    28
  • 7.1 Algorithmes de génération de signature
    28
  • 7.2 Activation du service de signature numérique
    29
  • 7.3 Aspects généraux
    29
  • 7.4 Génération de la signature
    31
  • 7.5 Sélection de clés, algorithmes et formats d'entrée différents
    35
  • 7.6 Lecture des certificats et des informations associées
    37
  • 8 Authentification du dispositif
    39
  • 8.1 Autorités de certification et certificats
    40
  • 8.2 Environnements d'authentification
    42
  • 8.3 Mécanismes d'accord et de transport de clé
    44
  • 8.4 Protocole de transport de clé basé sur le logarithme RSA
    44
  • 8.5 Authentification du dispositif avec protection de la vie privée
    56
  • 8.6 Protocole EAC (mEC) du module soumis à des contraintes de protection de la vie privée avec caractéristique de non traçabilité (basé sur les courbes elliptiques)
    73
  • 8.7 Résumé de l'authentification asymétrique
    86
  • 8.8 Schéma d'authentification symétrique
    86
  • 8.9 Calcul des clés de session à partir de KIFD/ICC
    91
  • 8.10 Calcul du compteur de séquence d'envoi/pas d'autre idée
    93
  • 8.11 Phase post-authentification
    93
  • 8.12 Fin de la session sécurisée
    93
  • 8.13 Lecture du message d'affichage
    94
  • 8.14 Mise à jour du message d'affichage
    96
  • 9 Messagerie de sécurité
    97
  • 9.1 Octet de classe
    98
  • 9.2 Codage TLV de la commande et du message de réponse
    98
  • 9.3 Traitement des erreurs SM
    98
  • 9.4 Bourrage utilisé pour le calcul de la somme de contrôle
    99
  • 9.5 Compteur d'envoi de séquence (SSC)
    99
  • 9.6 Structure de message des APDU de messagerie de sécurité
    99
  • 9.7 Protection de l'ADPU de la réponse
    107
  • 9.8 Utilisation d'un triple DES et de l'AES
    113
  • 10 Génération de clés
    119
  • 10.1 Génération et export de clés à l'aide de PrK.ICC.AUT
    119
  • 10.2 Génération et export de clés à l'aide d'une SM dynamique ou statique
    120
  • 10.3 Rédaction de certificats
    120
  • 10.4 Détermination de clés en cas de messagerie de sécurité statique
    120
  • 11 Identifiants et paramètres de clés
    120
  • 11.1 Identifiants de clés (KID)
    120
  • 11.2 Paramètres de clés publiques
    121
  • 11.3 DSA avec paramètres de clé publique ELC
    121
  • 11.4 Paramètres d'échange de clés Diffie-Hellman RSA
    122
  • 11.5 Paramètres d'échange de clés par cryptographie sur les courbes elliptiques
    123
  • 12 Structures de données
    124
  • 12.1 Gabarits de contrôles (CRT)
    124
  • 12.2 Protocole d'authentification du dispositif de transport de clés
    127
  • 12.3 Protocole d'authentification du dispositif de confidentialité
    128
  • 13 AIgID, formats Hachage et DSI
    130
  • 13.1 Identifiants d'algorithme et OID
    130
  • 13.2 Formats d'entrée de hachage
    132
  • 13.3 Formats des données à signer (DSI)
    134
  • 14 Gestion des certificats CV et des clés
    141
  • 14.1 Niveau de confiance d'un certificat
    141
  • 14.2 Gestion des clés
    141
  • 14.3 Certificats vérifiables par la carte
    142
  • 14.4 Utilisation d'une clé publique extraite du certificat
    143
  • 14.5 Validité de la clé extraite d'un certificat
    144
  • 14.6 Structure du CVC
    144
  • 14.7 Contenu du certificat
    145
  • 14.8 Signature de certificat
    156
  • 14.9 Codage du contenu de certificat
    158
  • 14.10 Etapes de la vérification CVC 162 14.11 Commandes destinées à traiter le CVC
    165
  • 14.12 C_CV.IFD.AUT (non auto-descriptif)
    165
  • 14.13 C_CV.CA.CS-AUT (non auto-descriptif)
    167
  • 14.14 C.ICC.AUT
    168
  • 14.15 Certificat CV auto-descriptif (exemple)
    168
  • 15 Fichiers
    170
  • 15.1 Structure de fichiers
    170
  • 15.2 Identifiants de fichier
    172
  • 15.3 EF.DIR
    172
  • 15.4 EF.SN.ICC
    172
  • 15.5 EF.DH
    173
  • 15.6 EF.ELC
    174
  • 15.7 EF.C.ICC.AUT
    174
  • 15.8 EF.C.CA,cc.CS-AUT
    175
  • 15.9 EF.C_X509.CH.DS
    175
  • 15.10 EF.C_X509.CA.CS (DRESIGN)
    176
  • 15.11 EF.DM
    176
  • 16 Application d'Information cryptographique
    177
  • 16.1 Exemple de disposition d'informations cryptographiques ESIGN
    180
  • Annexe A (informative) Authentification de dispositif - Vue cryptographique
    191
  • A.1 Algorithmes destinés à l'authentification avec échange ou négociation de clés
    191
  • A.2 Authentification de dispositif avec transport de clés
    191
  • A.3 Authentification de dispositif avec négociation de clés
    195
  • A.4 Authentification de dispositif avec protection de la vie privée
    198
  • A.5 Authentification de dispositif avec non-traçabilité
    202
  • A.6 AttaqueduGrand-Maîtred'Echecs
    205
  • Annexe B (informative) Scénarios de personnalisation
    207
  • Annexe C (informative) Schéma de construction pour les identifiants d'objet mEAC
    209
  • Bibliographie
    212
ZOOM SUR... le service Exigences
Pour respecter une norme, vous avez besoin de comprendre rapidement ses enjeux afin de déterminer son impact sur votre activité.

Le service Exigences vous aide à repérer rapidement au sein du texte normatif :
- les clauses impératives à satisfaire,
- les clauses non indispensables mais utiles à connaitre, telles que les permissions et les recommandations.

L’identification de ces types de clauses repose sur le document « Directives ISO/IEC, Partie 2 - Principes et règles de structure et de rédaction des documents ISO » ainsi que sur une liste de formes verbales constamment enrichie.

Avec Exigences, accédez rapidement à l’essentiel du texte normatif !

Avec Exigences, accédez rapidement à l'essentiel du texte normatif !
Besoin d’identifier, de veiller et de décrypter les normes ?

COBAZ est la solution simple et efficace pour répondre aux besoins normatifs liés à votre activité, en France comme à l’étranger.

Disponible sur abonnement, CObaz est LA solution modulaire à composer selon vos besoins d’aujourd’hui et de demain. Découvrez vite CObaz !

Demandez votre démo live gratuite, sans engagement

Je découvre COBAZ