2014-11-13 ASIP Santé JNI "Cryptolib CPS V5: Point d’actualité"

PROJETS ET SERVICES

Cryptolib CPS V5

Point d’actualité

Journée Nationale des Industriels – 13 Novembre 2014

Cryptolib CPS v5 - Rappels

Caractéristiques principales de la Cryptolib CPS v5 :

• Installation sur lecteur bi-fente PSS comme sur lecteur PC/SC sans adaptation particulière.

La Cryptolib CPS v5 réconcilie les filières GALSS et full PC/SC ce qui réduit la complexité du poste de travail, le

nombre de livrables et les charges de maintenance.

• Compatibilité ascendante.

Elle intègre les composants de la Cryptolib CPS v4. Elle est donc entièrement compatible avec les installations

existantes.

• Usage du volet sans contact de la CPS3.

L’accès aux fonctionnalités sans contact permet aux établissements de santé de déployer des solutions de

mobilité attendues par ces établissements (ex : authentification applicative via roaming de session ou

d’application).

• Existe en version 64 bits.

Les navigateurs utilisés peuvent être lancés en mode 64 bits. De même ceci permet aux éditeurs de proposer à

leurs utilisateurs des versions 64 bits de leurs logiciels.

Ce mode 64 bits est également requis pour les utilisations de type « sécurisation du SI » (exemple : Smart Card

Logon) pour lesquels des mécanismes natifs intégrés au système sont mis en œuvre.

• Renforce le niveau de sécurité des opérations d’authentification et de signature par la mise en œuvre du

volet IAS.

L’utilisation du volet IAS garantit une sécurité renforcée par la possibilité de mise en œuvre de taille de clefs

supérieures et d’algorithmes de meilleur qualité (SHA2).

En lien avec les mécanismes IAS, le principe de cloisonnement applicatif garantit qu’aucun logiciel ne peut mettre

en œuvre les fonctionnalités de la carte CPS sans l’autorisation du porteur.

.

Journée Nationale des Industriels - 13 Novembre 2014 2

Cryptolib CPS v5 - Généralisation

• 28/10/2014 : Communication large ASIP Santé confirmant la généralisation de la

Cryptolib CPS v5

• Actualité en première page du site esante.gouv.fr

• Campagne d’e-mailing ciblant l’ensemble des consommateurs de Cryptolib (éditeurs, intégrateurs,

établissements de santé, …).

• Ce qu’il faut retenir :

• La Cryptolib CPS v5 est disponible pour tous les environnements couverts dans l’espace

« Intégrateurs CPS » : integrateurs-cps.asipsante.fr

• La Cryptolib CPS v5 a été qualifiée pour l’ensemble des usages terrain ce qui inclus ceux de

l’Assurance Maladie.

• La version 4 de la Cryptolib CPS n’est plus diffusée par l’ASIP Santé et n’évoluera plus.

• Le support sur la version 4 reste assuré jusqu’à fin mars 2015.

.

Journée Nationale des Industriels - 13 Novembre 2014 3

http://integrateurs-cps.asipsante.fr/



Cryptolib CPS v5 – Etat d’avancement

4 Journée Nationale des Industriels - 13 Novembre 2014

2013

T4 T1 T2 Juil.

2014

Cryptolib CPS v5 Mise à disposition des

éditeurs pour test

Accompagnement des

éditeurs

Août Sept. Oct. Nov.

par la facturation par

Ordres Transparents

1 Documentation

technique Cf. page suivante

3

Généralisation Cryptolib

CPS v5

par les services de

l’ASIP Santé DMP, MS Santé

2

5

• Référentiel documentaire technique disponible sur integrateurs-cps.asipsante.fr

• Présentation détaillée relative à la Cryptolib v5 et à son déploiement : http://integrateurs-cps.asipsante.fr/fichiers/141024-ASIP-Presentation_Deploiement_Cryptolib_v5.pdf

• Documents axés sur la mise en œuvre des nouveaux composants et nouvelles

fonctionnalités de la Cryptolib v5 :

Cryptolib CPS v5 – Référentiel documentaire (1/2)

Journée Nationale des Industriels - 13 Novembre 2014

Note Technique décrivant précisément les points d’attention quant à la migration technique de

l’utilisation des composants de la Cryptolib CPS v4 vers ceux de la Cryptolib CPS v5, notamment

depuis le composant API CPS.

Note publiée en décembre 2013

Mise à jour de la Note Technique précédente aidant les éditeurs à appréhender les impacts des

standards industriels actuels dans leur architecture logicielle, notamment lors de la migration décrite

au point précédent :

Note publiée en septembre 2014 : ASIP-PTS-PSCE_NP_Cryptolib-CPS-v5-Impacts-migration-

CPS2Ter-CPS3_20140912_v1.2.6.

Note Technique aidant à la mise en œuvre de solutions basées sur les capacités sans-contact de la

carte CPS3 :

Note à publier.

1

2

3









• Autres documents (liste non-exhaustive) :

Guide de mise en œuvre technique destiné plus spécifiquement aux chefs de

projets de maitrises d’œuvre et aux architectes techniques et applicatifs :

ASIP-PTS_Guide-de-mise-en-oeuvre-d-une-authentification-forte-avec-une-

carte-CPS_20131217_v0.2.4.

décembre 2012

Note Technique décrivant les mécanismes de détection des composants de

Cryptolib CPS installés :

ASIP-PTS-PSCE_NP_Guide-implementation-Detection-Cryptolib-

CPS_20140305_v1.0.0.

mars 2014

Manuel de programmation à l’intention des éditeurs :

ASIP-PTS-PSCE_MP_Cryptolib-CPS-v5-Manuel-de-

programmation_20131016_v1.5.0.

octobre 2013

Note Technique décrivant les mécanismes de détection de l’arrachage de la carte

CPS de son lecteur :

ASIP-PTS-PSCE_NP_Guide-implementation-detection-arrachage-

CPS_20131017_v1.0.3.

octobre 2013

Cryptolib CPS v5 – Référentiel documentaire (2/2)


Cryptolib CPS v5 – Bonnes pratiques d’utilisation

de la documentation ASIP Santé

Le « Manuel d’Installation et d’utilisation de la Cryptolib CPS v5 »

• Contient des recommandations d’intégration et de conception

• Contient un exemple de code C# requêtant sur l’usage de la clé

• Contient du code exemple Java

Le document « Cryptolib-CPS-v5-Impacts-migration-CPS2Ter-CPS3 »

• Reprend des exemples de mauvaises pratiques

• Les commente au regard des conseils de conception et d’architecture qui y sont par ailleurs

dispensés

Les codes exemples de l’ASIP Santé sont fournis à titre documentaire. Ils ne sont pas destinés à être repris tel quel. Il convient avant tout de se les approprier et de les adapter aux contraintes de production et de maintenance propres à chaque solution.


Cryptolib CPS v5 – Bonnes pratiques d’utilisation

des certificats

Les applications doivent discriminer correctement les certificats au sein des

magasins ou au travers des API afin d’en faire bon usage.

Pour rappel, cette opération doit se faire uniquement sur la base de l’examen du

« KeyUsage » :

Certificat d’authentification Certificat de signature

Les méthodes de discrimination empiriques de certificats basées sur l’analyse de

numéro de série ou de longueurs de clé par exemple sont à proscrire.

9

ANNEXES


10

Annexe 1 – Migration Cryptolib CPS v4 vers v5 (1/3)


Avant le déploiement :

Lorsque les Cryptolibs CPS déployées

sont en version 4, les Applications

s’appuient au choix sur :

• L’API CPS

• L’interface PKCS#11

• Ou les mécanismes du système d’exploitation :

CSP (Windows), Tokend (Mac OS X).

11



Début du déploiement :

Au démarrage du déploiement, la

compatibilité ascendante est garantie

par l’intégration dans l’installeur v5 des

composants v4 suivants :

• L’API CPS

• L’interface PKCS#11

• Les mécanismes du système d’exploitation v5

sont entièrement compatibles.

Ainsi le passage de la v4 à la v5

n’impacte pas les LPS installés sur les

postes de travail.

12



Suite du déploiement :

Dans un deuxième temps, les éditeurs

et intégrateurs doivent adapter leurs

logiciels afin de leur faire utiliser le

volet IAS de la CPS3 à travers les

services de la Cryptolib CPS V5.

Les éditeurs ayant déjà fait les choix

d’implémentation recommandés par

Microsoft, Apple, l’ASIP Santé et le GIE

SESAM-VITALE ont une très faible

charge de développement, i.e.

utilisation des interfaces PKCS#11 et

CSP.

Les navigateurs ne sont pas impactés.

13

Annexe 2 – Cloisonnement applicatif (1/2)


Chaque application et chaque logiciel doit

authentifier le porteur afin d’utiliser les

fonctionnalités cryptographiques de la carte

CPS3 volet IAS à travers la Cryptolib CPS v5.

Ce cloisonnement garantit qu’aucun logiciel

« indésirable » ne peut accéder à la CPS sans

l’autorisation du porteur.

Les choix d’architecture d’invocation offerts par la

Cryptolib CPS v5 sont :

• soit par l’utilisation de l’interface

cryptographique système (interface CSP sous

Windows).

• soit en utilisant directement la librairie au

standard PKCS11.

Les autres architectures, en accord avec le

GIE SESAM-Vitale, comme par exemple

l’utilisation de l’API CPS, ne sont pas

recommandées.

14


Suivant l’architecture globale choisie pour le

logiciel, le cloisonnement applicatif peut avoir

des conséquences ergonomiques,

notamment une augmentation des demandes

de code porteur.

Lorsque l’architecture globale d’un logiciel

est hétérogène dans ses modalités d’accès à

la Cryptolib CPS, les contextes

cryptographies de chaque accès sont alors

désunis. Le cloisonnement applicatif impose

alors une réauthentification du porteur par

mode d’accès.

Une méthode unique d’accès aux services cryptographiques de la carte CPS doit être choisie. Elle doit être appliquée à l’ensemble du logiciel.

Annexe 2 – Cloisonnement applicatif (2/2)

PROJETS ET SERVICES

Merci de votre attention

Healthcare

2014-11-13 ASIP Santé JNI "Cryptolib CPS V5: Point d’actualité"