Outils personnels

SMIRK CRY1203, la cryptographie

De documentation SEPAmail.

Cette page contient des modifications qui ne sont pas marquées pour la traduction.

SEPAmail – Norme 1206

Cette page fait partie de la version 1206 de la norme.

Sauf indication contraire, elle a été validée par les instances concernées et s'impose à tous les adhérents SEPAmail.
ATTENTION ! La version 1606 de la norme est disponible, vérifiez si cette page est toujours valable.

Cette demande de commentaires (SMIRK pour SepaMail Internal Request for Komment) spécifie les règles communes d'utilisation de la cryptographie. Ce SMIRK est un standard de la communauté SEPAmail, spécifié et maintenu par le scheme SEPAmail.

Introduction

SEPAmail utilise des procédés techniques de cryptographie asymétrique pour assurer:

  • l'authentification forte des adhérents du réseau SEPAmail,
  • la confidentialité et l'intégrité de l'information échangée.

Ce document précise les normes utilisées et le cadre de cette utilisation dans le réseau des adhérents SEPAmail. Une partie annexe décrit l'extension qui peut être fait de la norme dans un cadre hors-réseau, notamment entre un adhérent et son client.

Avertissement

SEPAmail encadre juridiquement le cadre et la portée:

  • des transferts sécurisés d'information, qui constituent le dispositif technique SEPAmail,
  • des mandats électroniques de chaque membre du réseau pour son propre compte ou celui de ses clients,
  • des garanties pour chaque membre du réseau.

Ce cadre juridique ne fait pas partie de ce document. Notamment, la non-répudiation est contractuelle et juridique dans le cadre de SEPAmail. Elle ne fait donc pas partie des prérogatives du dispositif technique.

Principes

Utilisation de S/mime sur IP avec deux parcours possibles

  • SEPAmail utilise la norme S/Mime [1]
    • le contenu est inclus dans une enveloppe de signature S/MIME opaque (i.e. non-détachée)
    • cette enveloppe de signature est elle même incluse dans une enveloppe de chiffrement S/MIME
  • avec deux échanges possibles entre les adhérents SEPAmail :
    • le parcours canonique utilisant un échange via le protocole SMTP [2]
    • un parcours flash utilisant un échange via un web service [3]
  • ainsi que les usages X509 [4] de confidentialité et d'authentification (intégrité de fait)
  • avec une signature incluse dans le contenu chiffré

Le certificat SEPAmail

SEPAmail utilise deux certificats S/MIME pour chacune des adresses de courriels utilisées (une par BIC et par écosystème, voir la demande de commentaire autour de la missive [5]). L'un des certificats est utilisé exclusivement pour le chiffrement, l'autre exclusivement pour la signature.

Ce certificat doit présenter les caractéristiques suivantes :

  • un usage de la bi-clé pour
    • la confidentialité (chiffrement ou encryption)
    • l'authentification (digital signature)
  • signé par une autorité de certification reconnue
  • un nom canonique (canonicalname ou CN) à l'adresse de courriel [ecosystem]@[bic].sepamail.eu

Cas du parcours canonique

Dans le cas du parcours canonique (privilégié), la confidentialité et la signature sont obligatoires.

Cas du parcours flash

Dans le cas du parcours flash, une négociation de l'échange pair à pair entre les adhérents au réseau SEPAmail est obligatoire afin de savoir quelles sont les exigences du client et du serveur en matière :

  • de protocole d'échange (HTTP, HTTPS)
  • de politique d'authentification des équipements réseaux (réciproque, unilatérale)
  • de protocole de web-services (SOAP, REST, autres)
  • de politique de réponse et de qualité de service (temps de réponse, résultat désynchronisé ou synchronisé dans la réponse)


Références

  1. http://fr.wikipedia.org/wiki/S/MIME
  2. http://fr.wikipedia.org/wiki/Smtp
  3. http://fr.wikipedia.org/wiki/Web_service
  4. http://fr.wikipedia.org/wiki/X.509
  5. http://documentation.sepamail.eu/wiki/Private_scheme:SMIRK_MIS1202
Autres langues :English 0% • ‎Français 100%