Introduction
SECTION 1 – GÉNÉRALITÉS
1 Domaine d'application
2 Références normatives
2.1 Recommandations | Normes internationales
identiques
2.2 Paires de Recommandations | Normes internationales
équivalentes par leur contenu technique
3 Définitions
3.1 Définitions relatives à l'architecture de
sécurité du modèle de référence OSI
3.2 Définitions relatives au modèle d'annuaire
3.3 Définitions
4 Abréviations
5 Conventions
6 Apercu général des cadres
6.1 Signatures numériques
SECTION 2 – CADRE DE CERTIFICAT DE CLÉ PUBLIQUE
7 Clés publiques et certificats de clé publique
7.1 Génération de paires de clés
7.2 Création d'un certificat de clé publique
7.3 Validité des certificats
8 Certificat de clé publique et extensions de liste CRL
8.1 Traitement de la politique
8.1.1 Politique de certificat
8.1.2 Certification croisée
8.1.4 Traitement de l'itinéraire de certification
8.1.5 Certificats auto-émis
8.2 Extensions d'informations de clé et de
politique
8.2.1 Expression des besoins
8.2.2 Champs d'extension de clé publique et de liste CRL
8.2.2.1 Extension d'identificateur de clé d'autorité
8.2.2.2 Extension d'identificateur de clé de sujet
8.2.2.3 Extension d'utilisation de clé
8.2.2.4 Extension d'utilisation de clé étendue
8.2.2.5 Extension de durée d'utilisation de clé privée
8.2.2.6 Extension de politiques de certificat
8.3 Extensions d'information de sujet et d'émetteur
8.3.1 Expression des besoins
8.3.2 Champs d'extension de certificat et de liste CRL
8.3.2.1 Extension d'autre nom de sujet
8.3.2.2 Extension d'autre nom d'émetteur
8.3.2.3 Extension d'attributs d'annuaire du sujet
8.4 Extensions de contrainte d'itinéraire de
certification
8.4.1 Expression des besoins
8.4.2 Champs d'extension de certificat
8.4.2.1 Extension de contraintes de base
8.4.2.2 Extension de contraintes de nom
8.4.2.3 Extension de contraintes de politique
8.4.2.4 Extension d'inhibition de la valeur spéciale "toute politique"
8.5 Extensions de liste CRL de base
8.5.1 Expression des besoins
8.5.2 Champs d'extension de liste CRL et d'élément de liste
8.5.2.1 Extension de numéro de liste CRL
8.5.2.2 Extension de code motif
8.5.2.3 Extension de code d'instruction de mise en attente
8.5.2.4 Extension de date de non validité
8.5.2.5 Extension de domaine d'application de liste CRL
8.5.2.6 Extension de référence de statut
8.5.2.7 Extension d'identificateur de flux de liste CRL
8.5.2.8 Extension de liste ordonnée
8.5.2.9 Extensions d'informations delta
8.6 Points de répartition de liste CRL et
extensions delta de liste CRL
8.6.1 Expression des besoins
8.6.2 Point de répartition de liste CRL et champs d'extension de liste CRL
delta
8.6.2.1 Extension de point de répartition de liste CRL
8.6.2.2 Extension de
point de répartition émetteur
8.6.2.3 Extension d'émetteur de certificat
8.6.2.4 Extension d'indicateur de liste CRL delta
8.6.2.5 Extension de
mise à jour de base
8.6.2.6 Extension de liste CRL la plus récente
9 Relations entre la liste CRL delta et la liste de base
10 Procédure de
traitement de l'itinéraire de certification
10.1 Informations d'entrée du traitement
d'itinéraire
10.2 Informations de sortie du traitement
d'itinéraire
10.3 Variables de traitement d'itinéraire
10.4 Etape d'initialisation
10.5 Traitement de certificat
10.5.1 Vérification de base des certificats
10.5.2 Traitement des certificats intermédiaires
10.5.3 Traitement des indicateurs de politique explicite
10.5.4 Traitement final
11 Schéma
d'annuaire d'infrastructures PKI
11.1 Classes d'objets et formes de nom d'annuaire
d'infrastructure PKI
11.1.1 Classe d'objets "utilisateur d'infrastructure PKI"
11.1.2 Classe d'objets "autorité de certification d'infrastructure
PKI"
11.1.3 Classe d'objets et forme de nom de points de répartition de liste CRL
11.1.4 Classe d'objets "liste CRL delta"
11.1.5 Classe d'objets "politique de certificat et déclaration de pratique
de certification"
11.1.6 Classe d'objets "itinéraire de certificat d'infrastructure
PKI"
11.2 Attributs "répertoire d'infrastructure
PKI"
11.2.1 Attribut "certificat d'utilisateur"
11.2.2 Attribut "certificat d'autorité de certification"
11.2.3 Attribut "paire de certificats croisés"
11.2.4 Attribut "liste de révocation de certificat"
11.2.5 Attribut "liste de révocation d'autorité"
11.2.6 Attribut "liste delta de révocation"
11.2.7 Attribut "algorithmes pris en charge"
11.2.8 Attribut "déclaration de pratique de certification"
11.2.9 Attribut "politique de certificat"
11.2.10 Attribut
"itinéraire d'infrastructure PKI"
11.3 Règles de concordance d'annuaire
d'infrastructure PKI
11.3.1 Concordance exacte de certificat
11.3.2 Concordance de certificat
11.3.3 Concordance exacte de paire de certificats
11.3.4 Concordance de paire de certificats
11.3.5 Concordance exacte de liste de certificats
11.3.6 Concordance de liste de certificats
11.3.7 Concordance d'identificateur d'algorithme
11.3.8 Concordance de politique
11.3.9 Concordance d'itinéraire PKI
SECTION 3 – CADRE DE CERTIFICAT D'ATTRIBUT
12 Certificats
d'attribut
12.1 Structure du certificat d'attribut
12.2 Itinéraires de certificat d'attribut
13 Relations entre
l'autorité d'attribut, la source d'autorité et l'autorité de certification
13.1 Privilège dans les certificats d'attribut
13.2 Privilège dans des certificats de clé publique
14 Modèles
d'infrastructure PMI
14.1 Modèle général
14.1.1 Infrastructure PMI dans le contexte de contrôle d'accès
14.1.2 Infrastructure PMI dans un contexte de non-répudiation
14.2 Modèle de contrôle d'accès
14.3 Modèle de délégation
14.4 Modèle de
rôles
14.4.1 Attribut "rôle"
15 Extensions de
certificat de gestion de privilège
15.1 Extensions de gestion de privilège de base
15.1.1 Définition des besoins
15.1.2 Champs de gestion d'extension de privilège de base
15.1.2.1 Extension de spécification de durée
15.1.2.2 Extension d'informations de cible
15.1.2.3 Extension de notification d'utilisateur
15.1.2.4 Extension de politiques de privilège acceptable
15.2.2.1 Extension de point de répartition de liste CRL
15.2.2.2 Extension d'absence d'informations
de révocation
15.3.2.1 Extension d'identificateur de source d'autorité
15.3.2.2 Extension de descripteur d'attribut
15.4.2.1 Extension d'identificateur de certificat de spécification de rôle
15.5.2.1 Extension de contraintes d'attribut de base
15.5.2.2 Extension de contraintes de nom délégué
15.5.2.3 Extension de politiques de certificat acceptable
15.5.2.4 Extension d'identificateur d'autorité d'attribut
15.2 Extensions de révocation de privilège
15.2.1 Définition des besoins
15.2.2 Champs d'extension de révocation de privilège
15.3 Extensions de source d'autorité
15.3.1 Définition des besoins
15.3.2 Champs d'extension de source d'autorité
15.4 Extensions de rôle
15.4.1 Définition des besoins
15.4.2 Champs d'extension de rôle
15.5 Extensions de délégation
15.5.1 Définition des besoins
15.5.2 Champs d'extension de délégation
16 Procédure de
traitement d'itinéraire de privilège
16.1 Procédure de traitement de base
16.2 Procédure de traitement d'itinéraire de
privilège
16.3 Procédure de traitement de délégation
16.3.1 Vérification de l'intégrité des données de la règle de hiérarchie
16.3.2 Etablir un itinéraire de délégation valide
16.3.3 Vérification de la délégation de privilège
16.3.4 Détermination de la réussite ou de l'échec
17 Schéma
d'annuaire PMI
17.1 Classes d'objets "annuaire PMI"
17.1.1 Classe d'objets "utilisateur d'infrastructure PMI"
17.1.2 Classe d'objets "autorité d'attribut d'infrastructure PMI"
17.1.3 Classe d'objets "source d'autorité d'infrastructure PMI"
17.1.4 Classe d'objets "certificat d'attribut de point de répartition de
liste CRL"
17.1.5 Classe d'objets "itinéraire de délégation d'infrastructure
PMI"
17.1.6 Classe d'objets "politique de privilège"
17.2 Attributs d'annuaire d'infrastructure PMI
17.2.1 Attribut "certificat d'attribut"
17.2.2 Attribut "certificats d'autorité d'attribut"
17.2.3 Attribut "certificat de descripteur d'attribut"
17.2.4 Attribut "liste de révocation de certificat d'attribut"
17.2.5 Attribut "liste de révocation de certificat d'autorité
d'attribut"
17.2.6 Attribut "itinéraire de délégation"
17.2.7 Attribut "politique de privilège"
17.3 Règles de concordance de répertoire
d'infrastructure PMI
17.3.1 Concordance exacte de certificat d'attribut
17.3.2 Concordance de certificat d'attribut
17.3.3 Concordance détenteur/émetteur
17.3.4 Concordance d'itinéraire de délégation
SECTION 4 – UTILISATION DES CADRES DE CLÉ PUBLIQUE ET DE
CERTIFICAT D'ATTRIBUT PAR L'ANNUAIRE
18 Authentification
de l'annuaire
18.1 Procédure d'authentification simple
18.1.1 Générations d'informations d'identification protégées
18.1.2 Procédure d'authentification simple protégée
18.1.3 Type d'attribut "mot de passe utilisateur"
18.2 Authentification forte
18.2.1 Obtention de certificats de clé publique à partir de l'annuaire
18.2.2 Procédures d'authentification forte
18.2.1.1 Exemple
18.2.2.1 Authentification en un temps
18.2.2.2 Authentification en deux temps
18.2.2.3 Authentification en trois temps
19 Contrôle
d'accès
20 Protection des
opérations d'annuaire
Annexe A – Cadres de certificats d'attribut et de clé publique
Annexe B – Règles de génération et de
traitement des listes CRL
B.1 Introduction
B.1.1 Types de liste CRL
B.1.2 Traitement de liste
CRL
B.2 Détermination des paramètres pour les listes CRL
B.3 Détermination des listes CRL nécessaires
B.3.1 Entité finale avec
point de répartition de liste CRL critique
B.3.2 Entité finale sans
point de répartition de liste CRL critique
B.3.3 Autorité de
certification avec point de répartition de liste CRL critique
B.3.4 Autorité de
certification sans point de répartition de liste CRL critique
B.4 Extraction des listes CRL
B.5 Traitement des listes CRL
B.5.1 Validation du domaine
d'application de liste CRL
B.5.2 Validation du domaine
d'application de liste CRL delta
B.5.3 Vérification de
validité et d'actualité de la liste CRL de base
B.5.4 Validité et
vérifications de la liste CRL delta
B.5.1.1 Liste
CRL complète
B.5.1.2 Liste
EPRL complète
B.5.1.3 Liste
CARL complète
B.5.1.4 Liste
CRL, EPRL ou CARL basée sur un point de répartition
Annexe C – Exemples d'émission de liste
CRL delta
C.1 Introduction
Annexe D – Exemples de définition de
politique de privilège et d'attribut de privilège
D.1 Introduction
D.2 Exemples de syntaxes
D.2.1 Premier exemple
D.2.2 Deuxième exemple
D.3 Exemple d'attribut de privilège
Annexe E – Introduction à la
cryptographie avec clé publique
Annexe F – Définition de référence
des identificateurs d'objet d'algorithme
Annexe G – Exemples
d'utilisation de contraintes d'itinéraire de certification
G.1 Exemple 1: utilisation de contraintes de base
G.2 Exemple 2: utilisation de contraintes
nominatives
Annexe H – Liste
alphabétique des définitions des éléments d'information
Annexe
I – Amendements et corrigenda