2014-11-13 asip santé jni "cryptolib cps v5: point d’actualité"
DESCRIPTION
Point d'actualité Cryptolib V5 par David Decroix, ASIP SantéTRANSCRIPT
PROJETS ET SERVICES
Cryptolib CPS V5
Point d’actualité
Journée Nationale des Industriels – 13 Novembre 2014
Cryptolib CPS v5 - Rappels
Caractéristiques principales de la Cryptolib CPS v5 :
• Installation sur lecteur bi-fente PSS comme sur lecteur PC/SC sans adaptation particulière.
La Cryptolib CPS v5 réconcilie les filières GALSS et full PC/SC ce qui réduit la complexité du poste de travail, le
nombre de livrables et les charges de maintenance.
• Compatibilité ascendante.
Elle intègre les composants de la Cryptolib CPS v4. Elle est donc entièrement compatible avec les installations
existantes.
• Usage du volet sans contact de la CPS3.
L’accès aux fonctionnalités sans contact permet aux établissements de santé de déployer des solutions de
mobilité attendues par ces établissements (ex : authentification applicative via roaming de session ou
d’application).
• Existe en version 64 bits.
Les navigateurs utilisés peuvent être lancés en mode 64 bits. De même ceci permet aux éditeurs de proposer à
leurs utilisateurs des versions 64 bits de leurs logiciels.
Ce mode 64 bits est également requis pour les utilisations de type « sécurisation du SI » (exemple : Smart Card
Logon) pour lesquels des mécanismes natifs intégrés au système sont mis en œuvre.
• Renforce le niveau de sécurité des opérations d’authentification et de signature par la mise en œuvre du
volet IAS.
L’utilisation du volet IAS garantit une sécurité renforcée par la possibilité de mise en œuvre de taille de clefs
supérieures et d’algorithmes de meilleur qualité (SHA2).
En lien avec les mécanismes IAS, le principe de cloisonnement applicatif garantit qu’aucun logiciel ne peut mettre
en œuvre les fonctionnalités de la carte CPS sans l’autorisation du porteur.
.
Journée Nationale des Industriels - 13 Novembre 2014 2
Cryptolib CPS v5 - Généralisation
• 28/10/2014 : Communication large ASIP Santé confirmant la généralisation de la
Cryptolib CPS v5
• Actualité en première page du site esante.gouv.fr
• Campagne d’e-mailing ciblant l’ensemble des consommateurs de Cryptolib (éditeurs, intégrateurs,
établissements de santé, …).
• Ce qu’il faut retenir :
• La Cryptolib CPS v5 est disponible pour tous les environnements couverts dans l’espace
« Intégrateurs CPS » : integrateurs-cps.asipsante.fr
• La Cryptolib CPS v5 a été qualifiée pour l’ensemble des usages terrain ce qui inclus ceux de
l’Assurance Maladie.
• La version 4 de la Cryptolib CPS n’est plus diffusée par l’ASIP Santé et n’évoluera plus.
• Le support sur la version 4 reste assuré jusqu’à fin mars 2015.
.
Journée Nationale des Industriels - 13 Novembre 2014 3
Cryptolib CPS v5 – Etat d’avancement
4 Journée Nationale des Industriels - 13 Novembre 2014
2013
T4 T1 T2 Juil.
2014
Cryptolib CPS v5 Mise à disposition des
éditeurs pour test
Accompagnement des
éditeurs
Août Sept. Oct. Nov.
par la facturation par
Ordres Transparents
1 Documentation
technique Cf. page suivante
3
Généralisation Cryptolib
CPS v5
par les services de
l’ASIP Santé DMP, MS Santé
2
5
• Référentiel documentaire technique disponible sur integrateurs-cps.asipsante.fr
• Présentation détaillée relative à la Cryptolib v5 et à son déploiement : http://integrateurs-cps.asipsante.fr/fichiers/141024-ASIP-Presentation_Deploiement_Cryptolib_v5.pdf
• Documents axés sur la mise en œuvre des nouveaux composants et nouvelles
fonctionnalités de la Cryptolib v5 :
Cryptolib CPS v5 – Référentiel documentaire (1/2)
Journée Nationale des Industriels - 13 Novembre 2014
Note Technique décrivant précisément les points d’attention quant à la migration technique de
l’utilisation des composants de la Cryptolib CPS v4 vers ceux de la Cryptolib CPS v5, notamment
depuis le composant API CPS.
Note publiée en décembre 2013
Mise à jour de la Note Technique précédente aidant les éditeurs à appréhender les impacts des
standards industriels actuels dans leur architecture logicielle, notamment lors de la migration décrite
au point précédent :
Note publiée en septembre 2014 : ASIP-PTS-PSCE_NP_Cryptolib-CPS-v5-Impacts-migration-
CPS2Ter-CPS3_20140912_v1.2.6.
Note Technique aidant à la mise en œuvre de solutions basées sur les capacités sans-contact de la
carte CPS3 :
Note à publier.
1
2
3
6 Journée Nationale des Industriels - 13 Novembre 2014
• Autres documents (liste non-exhaustive) :
Guide de mise en œuvre technique destiné plus spécifiquement aux chefs de
projets de maitrises d’œuvre et aux architectes techniques et applicatifs :
ASIP-PTS_Guide-de-mise-en-oeuvre-d-une-authentification-forte-avec-une-
carte-CPS_20131217_v0.2.4.
décembre 2012
Note Technique décrivant les mécanismes de détection des composants de
Cryptolib CPS installés :
ASIP-PTS-PSCE_NP_Guide-implementation-Detection-Cryptolib-
CPS_20140305_v1.0.0.
mars 2014
Manuel de programmation à l’intention des éditeurs :
ASIP-PTS-PSCE_MP_Cryptolib-CPS-v5-Manuel-de-
programmation_20131016_v1.5.0.
octobre 2013
Note Technique décrivant les mécanismes de détection de l’arrachage de la carte
CPS de son lecteur :
ASIP-PTS-PSCE_NP_Guide-implementation-detection-arrachage-
CPS_20131017_v1.0.3.
octobre 2013
Cryptolib CPS v5 – Référentiel documentaire (2/2)
7 Journée Nationale des Industriels - 13 Novembre 2014
Cryptolib CPS v5 – Bonnes pratiques d’utilisation
de la documentation ASIP Santé
Le « Manuel d’Installation et d’utilisation de la Cryptolib CPS v5 »
• Contient des recommandations d’intégration et de conception
• Contient un exemple de code C# requêtant sur l’usage de la clé
• Contient du code exemple Java
Le document « Cryptolib-CPS-v5-Impacts-migration-CPS2Ter-CPS3 »
• Reprend des exemples de mauvaises pratiques
• Les commente au regard des conseils de conception et d’architecture qui y sont par ailleurs
dispensés
Les codes exemples de l’ASIP Santé sont fournis à titre documentaire. Ils ne sont pas destinés à être repris tel quel. Il convient avant tout de se les approprier et de les adapter aux contraintes de production et de maintenance propres à chaque solution.
8 Journée Nationale des Industriels - 13 Novembre 2014
Cryptolib CPS v5 – Bonnes pratiques d’utilisation
des certificats
Les applications doivent discriminer correctement les certificats au sein des
magasins ou au travers des API afin d’en faire bon usage.
Pour rappel, cette opération doit se faire uniquement sur la base de l’examen du
« KeyUsage » :
Certificat d’authentification Certificat de signature
Les méthodes de discrimination empiriques de certificats basées sur l’analyse de
numéro de série ou de longueurs de clé par exemple sont à proscrire.
9
ANNEXES
Journée Nationale des Industriels - 13 Novembre 2014
10
Annexe 1 – Migration Cryptolib CPS v4 vers v5 (1/3)
Journée Nationale des Industriels - 13 Novembre 2014
Avant le déploiement :
Lorsque les Cryptolibs CPS déployées
sont en version 4, les Applications
s’appuient au choix sur :
• L’API CPS
• L’interface PKCS#11
• Ou les mécanismes du système d’exploitation :
CSP (Windows), Tokend (Mac OS X).
11
Annexe 1 – Migration Cryptolib CPS v4 vers v5 (2/3)
Journée Nationale des Industriels - 13 Novembre 2014
Début du déploiement :
Au démarrage du déploiement, la
compatibilité ascendante est garantie
par l’intégration dans l’installeur v5 des
composants v4 suivants :
• L’API CPS
• L’interface PKCS#11
• Les mécanismes du système d’exploitation v5
sont entièrement compatibles.
Ainsi le passage de la v4 à la v5
n’impacte pas les LPS installés sur les
postes de travail.
12
Annexe 1 – Migration Cryptolib CPS v4 vers v5 (3/3)
Journée Nationale des Industriels - 13 Novembre 2014
Suite du déploiement :
Dans un deuxième temps, les éditeurs
et intégrateurs doivent adapter leurs
logiciels afin de leur faire utiliser le
volet IAS de la CPS3 à travers les
services de la Cryptolib CPS V5.
Les éditeurs ayant déjà fait les choix
d’implémentation recommandés par
Microsoft, Apple, l’ASIP Santé et le GIE
SESAM-VITALE ont une très faible
charge de développement, i.e.
utilisation des interfaces PKCS#11 et
CSP.
Les navigateurs ne sont pas impactés.
13
Annexe 2 – Cloisonnement applicatif (1/2)
Journée Nationale des Industriels - 13 Novembre 2014
Chaque application et chaque logiciel doit
authentifier le porteur afin d’utiliser les
fonctionnalités cryptographiques de la carte
CPS3 volet IAS à travers la Cryptolib CPS v5.
Ce cloisonnement garantit qu’aucun logiciel
« indésirable » ne peut accéder à la CPS sans
l’autorisation du porteur.
Les choix d’architecture d’invocation offerts par la
Cryptolib CPS v5 sont :
• soit par l’utilisation de l’interface
cryptographique système (interface CSP sous
Windows).
• soit en utilisant directement la librairie au
standard PKCS11.
Les autres architectures, en accord avec le
GIE SESAM-Vitale, comme par exemple
l’utilisation de l’API CPS, ne sont pas
recommandées.
14
Journée Nationale des Industriels - 13 Novembre 2014
Suivant l’architecture globale choisie pour le
logiciel, le cloisonnement applicatif peut avoir
des conséquences ergonomiques,
notamment une augmentation des demandes
de code porteur.
Lorsque l’architecture globale d’un logiciel
est hétérogène dans ses modalités d’accès à
la Cryptolib CPS, les contextes
cryptographies de chaque accès sont alors
désunis. Le cloisonnement applicatif impose
alors une réauthentification du porteur par
mode d’accès.
Une méthode unique d’accès aux services cryptographiques de la carte CPS doit être choisie. Elle doit être appliquée à l’ensemble du logiciel.
Annexe 2 – Cloisonnement applicatif (2/2)
PROJETS ET SERVICES
Merci de votre attention