Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
06 mai 2016

certificats           Public Key Infrastructure


ETSI TS 101 862 (2006 01)

ETSI TS 101 862 (2006 01)

Profile de certificat qualifié

   La directive du parlement européen et du conseil dans le cadre communautaire pour les signatures électroniques (1999/93/EC) définis des exigences pour un type de certificat spécifique appelé "Qualified Certificates". Ces certificats ont une importance spécifique pour l'acceptation de signatures électroniques via la partie suivante de l'article 5 (effets légal des signatures électroniques):

   Les états membre doivent s'assurer que les signatures électroniques avancées qui sont basés sur un certificat qualifié et qui sont créés par un périphérique de création de signature sécurisé:

a) satisfont les exigences légales d'une signature en relation à une donnée sous forme électronique de la même manière qu'une signature manuscrite satisfait ces exigences pour une données sous forme papier; et
b) Sont admissible comme preuve dans les procédures judiciaires

   La directive 1999/93/EC définis un certificat qualifié dans l'article 2:

  "Qualified Certificate" signifie un certificat qui répond aux exigences prévue à l'annexe I et est fournis par un fournisseur de service de certification qui répond aux exigences prévues dans l'annexe II.

Scope

   Le présent document définis un profile pour les certificats qualifiés, basé sur les définitions techniques dans la rfc3739, qui peut être utilisé par des émetteurs de certificats qualifiés comformément aux annexes I et II de la directive de signatures électronique européenne 1999/93/EC

   Ce profile de certificat qualifié et le profile de certificat qualifié de l'IETF (rfc3739) adressent les certificats qualifié dans différents contextes et utilisent donc le terme Certificat Qualifié avec des significations légèrement différentes. Le profile IETF utilise ce terme dans un contexte universelle indépendamment des exigences légales. Le profile de ce document utilise ce terme pour décrire un certificat qualifié tel que définis par la directive 1999/93/EC.

Profile de certificat

   Ce profile est basé sur le profile de la rfc3739, qui est basé sur la rfc3280 et X.509v3.

Champ Issuer

   Le nom de l'emetteur contenu dans le champ issuer (comme définis dans la clause 3.1.1 dans la rfc3739) doit contenir un nom de pays dans l'attribut countryName. Le pays spécifié doit être le pays dans lequel l'emetteur du certificat est établis.

Déclarations de certificat qualifié

   Ce profile définis des déclarations individuels à utiliser avec l'extension qCStatements, définis dans la rfc3739.

   Quand cette extension est marquée critique, cela signifie que toute déclaration inclue dans l'extension sont considérés critique. Des déclaration suivantes sonft définis dans ce profile:

- Déclaration affirmant que les certificats sont émis comme certificats qualifiés
- Déclaration concernant les limites sur la valeur de transaction pour lequel le certificat peut être émis.
- Déclaration indiquant la durée de période de rétention durant laquelle les informations d'enregistrement sont archivés
- Déclaration affirmant que la clé privée associée avec la clé publique dans le certificat réside dans un périphérique de création de signature sécurisé

   Déclaration affirmant que les certificats sont émis comme certificats qualifiés

La déclaration définis dans cette clause contient un identifiant de la déclaration créé par la CA, statuant que ce certificat est émis comme certificat qualifié en accord avec l'annexe I et II de la directive 1999/93/EC, tel qu'implémenté dans la loi du pays où la CA est établie:
esi4-qcStatement-1 QC-STATEMENT ::= { IDENTIFIED BY id-etsi-qcs-QcCompliance }
-- Cette déclaration est une déclaration par l'émetteur que ce certificat est émis comme certificat qualifié en accord avec l'annexe I et II de la Directive 1999/93/EC du parlement européen et du conseil du 13 Décembre 1999 dans un cadre communautaire pour les signatures électronique, tel qu'implémenté dans la loi du pays spécifié dans le champ issuer de ce certificat.
id-etsi-qcs-QcCompliance OBJECT IDENTIFIER ::= { id-etsi-qcs 1 }

   Déclaration concernant les limites sur la valeur de transaction pour lequel le certificat peut être émis

   Les limites dans la valeur de transactions, pour lequel le certificat peut être utilisé, peut être indiqué en utilisant la déclaration définie dans cette clause. Les codes sont définis dans ISO 4217. Cette déclaration optionnelle contient:

- Un identifiant pour cette déclaration
- Une valeur monétaire exprimant la limite dans la valeur de transactions


esi4-qcStatement-2 QC-STATEMENT ::= { SYNTAX QcEuLimitValue IDENTIFIED BY id-etsi-qcs-QcLimitValue }
-- Cette déclaration est une déclaration par l'emetteur qui impose une limitation dans la valeur de transaction pour laquelle ce certificat peut être utilisé pour la quantité spécifiée (MonetaryValue), en accord avec la directive 1999/93/EC du parlement européen et du conseil du 13 Décembre 1999 dans un cadre communautaire pour les signatures électronique, tel qu'implémenté dans la loi du pays spécifié dans le champ issuer de ce certificat.
QcEuLimitValue ::= MonetaryValue
    
MonetaryValue::= SEQUENCE {
    currency Iso4217CurrencyCode,
    amount INTEGER,
    exponent INTEGER}
    -- value = amount addentry articles autoadd autofind autoprod createalpha createbeta createdb createprod findentry fullpowa generator.php genhtml genman genmd gentex html images insert man md pdf regen setfor setfor2 sql temp tex threads ToDo 10^exponent
Iso4217CurrencyCode ::= CHOICE {
    alphabetic PrintableString (SIZE (3)), -- Recommended
    numeric INTEGER (1..999) }
    -- Alphabetic or numeric currency code as defined in ISO 4217
    -- It is recommended that the Alphabetic form is used
id-etsi-qcs-QcLimitValue OBJECT IDENTIFIER ::= { id-etsi-qcs 2 }

   Déclaration indiquant la durée de période de rétention

   La dépendance des certificats qualifiés peuvent dépendre de l'existence d'informations externes retenus par la CA. Un aspect significatif est que la directive 1999/93/EC permet des formes de nom dans les certificats, tel que les pseudonyms, qui peuvent exiger l'assistance de la CA pour une autorité d'enregistrement de nom, pour identifier la personne physique associée à l'identité en cat de dispute. Cette déclaration optionnelle contient:

- Un identifiant de cette déclaration
- Une période de rétention pour les informations matérielles pertinentes pour l'utilisation et la confiance du certificat, exprimé en nombre d'années après da date d'expiration du certificat.



esi4-qcStatement-3 QC-STATEMENT ::= { SYNTAX QcEuRetentionPeriod IDENTIFIED BY id-etsi-qcs-QcRetentionPeriod }
-- Cette déclaration est une déclaration par l'émetteur garantis que pour un certificat où cette déclaration apparaît cette information matérielle pertinente pour l'utilisation et la confiance du certificat seront archivés et peuvent être disponibles au delà de la fin de la période de validité du certificat pour le nombre d'années indiqué dans cette déclaration.
QcEuRetentionPeriod ::= INTEGER
    
id-etsi-qcs-QcRetentionPeriod OBJECT IDENTIFIER ::= { id-etsi-qcs 3 }

   Déclaration affirmant que la clé privée associée avec la clé publique dans le certificat réside dans un SSCD

Les autoritéd de certification affirmant émettre des certificats où la clé privée liée à la clé publique certifiée résidant dans un SSCD peuvent utiliser cette déclaration optionnelle. Cette déclaration contient un identifiant de cette déclaration, créé par la CA, statuant que la clé privée associée avec la clé publique dans le certificat est stockée dans un SSCD en accord avec l'annexe III de la directive 1999/93/EC, tel qu'implémenté dans la loi du pays où la CA est établie.
esi4-qcStatement-4 QC-STATEMENT ::= { IDENTIFIED BY id-etsi-qcs-QcSSCD }
id-etsi-qcs-QcSSCD OBJECT IDENTIFIER ::= { id-etsi-qcs 4 }

Indication de certificat qualifié

   Les 2 techniques suivantes peuvent être utilisées pour déclarer qu'un certificat est émis comme certificat qualifié:

1) en identifiant une stratégie de certificat dans les extensions de stratégie de certificat, comme définis dans la clause 4.2.1.5 de la rfc3280, exprimant clairement que l'émetteur a émis intentionnellement le certificat comme certificat qualifié et que l'émetteur affirme être conforme avec les annexes I et II de la directive; ou
2) en incluant une extension de déclaration de certificat qualifié avec une déclaration si4-qcStatement-1 tel que définis dans la clause 5.2.1 de ce profile.

   Les certificats qualifiés conformes avec le présent document devraient inclure une stratégie en accord avec 1). Les certificats qualifiés conformes avec le présent document émis jusqu'au 30 juin 2005 devraient contenir une déclaration en accord avec 2). Ceux émis après cette date doivent contenir une déclaration en accord avec 2). Les certificats qualifiés conformes avec le présent document doivent dans tous les cas utiliser au moins une des techniques ci-dessus.

Annexe I de la directive

Pour chaque exigence dans la directive 1999/93/EC:
L'implémentation en accord avec ce profile et les standards sous-jacents

(a) une indication que le certificat est émis comme certificat qualifié:
inclusion de la stratégie de certificat définissant cette propriété et/ou une déclaration explicite définissant cette propriété tel que définis dans la clause 5.3
(b) L'identification du fournisseur de service de certification et l'état dans lequel il est établis:
L'information stockée dans le champ Issuer tel que définis dans la clause 3.1.1 de la rfc3739
(c) Le nom du signataire ou un pseudonyme, qui doit être identifié:
Tel que définis dans la clause 3.1.2 de la rfc3739
(d) Fournir un attribut spécifique du signataire si nécessaire, en fonction du but pour lequel le certificat est prévu:
Tel que définis dans les clauses 3.1.2 et 3.2.1 de la rfc3739
(e) Données de vérification de signature qui correspond à la données de création de signature sous le contrôle du signataire:
La clé publique avec les informations associées listées dans l'annexe I et II
(f) Une indication du début et de la fin de la période de validité du certificat:
La période de validité conforme aux recommandations X.509 et la rfc3280
(g) le code de l'identité du certificat:
Le numéro de série du certificat conforme aux recommandations X.509 et la rfc3280
(h) La signature électronique avancée du fournisseur de service de certification l'ayant émis:
La signature numérique de l'émetteur conforme aux recommandations X.509 et la rfc3280
(i) Les limitation du périmètre d'utilisation du certificat, si applicable:
Fournis dans l'extension de stratégies de certificat, l'extension d'utilisation de clé, et l'extension d'utilisation de clé étendue conforme aux recommandations X.509 et la rfc3280
(j) Les limites de valeur de transaction pour lesquelles le certificat peut être utilisé, si applicable:
En accord avec la clause 5.2.2

Annexe II de la directive

   L'annexe II contient les exigences pour les fournisseurs de services de certification émettant des certificats qualifiés, qui généralement n'impactent pas le format de certificat. Certaines fonctions spécifiues des certificats qualifiés, comme listé ci-dessous, peuvent cependant être utilisés pour supporter ces exigences:

Exigences dans l'annexe II de la directive 1999/93/EC:
Mécanisme supporté

l'exigences b) inclue une exigence d'un service de révocation immédiat et sécurisé:
L'extension de point de distribution de crl et l'accès aux informations de l'autorité conforme à la rfc3280 peuvent contenir les informations utilisées pour fournir et identifier ces services
L'exigence i) inclus une exigence sur la rétension des informations pour une période de temps appropriés:
La clause 5.2.3 définis une déclaration qui peut être utilisée pour communiquer la période de rétension aux tiers de confiance
L'exigence k) status que la partie pertinente des termes et conditions au regard de l'utilisation du certificat doit être disponible à la demande de tiers de confiance validant le certificat:
Une stratégie de certificat dans l'extension de stratégie de certificat peut contenir un qualifiant de type CPSurl conforme à la rfc3280, pointant vers l'emplacement où cette information peut être obtenue.