Point d'actualité Cryptolib V5 par David Decroix, ASIP Santé

1. PROJETS ET SERVICES
Cryptolib CPS V5 Point d’actualité
Journée Nationale des Industriels – 13 Novembre 2014

2. Cryptolib CPS v5 - Rappels
Caractéristiques principales de la Cryptolib CPS v5 :
•Installation sur lecteur bi-fente PSS comme sur lecteur PC/SC sans adaptation particulière. La Cryptolib CPS v5 réconcilie les filières GALSS et full PC/SC ce qui réduit la complexité du poste de travail, le nombre de livrables et les charges de maintenance.
•Compatibilité ascendante. Elle intègre les composants de la Cryptolib CPS v4. Elle est donc entièrement compatible avec les installations existantes.
•Usage du volet sans contact de la CPS3. L’accès aux fonctionnalités sans contact permet aux établissements de santé de déployer des solutions de mobilité attendues par ces établissements (ex : authentification applicative via roaming de session ou d’application).
•Existe en version 64 bits. Les navigateurs utilisés peuvent être lancés en mode 64 bits. De même ceci permet aux éditeurs de proposer à leurs utilisateurs des versions 64 bits de leurs logiciels. Ce mode 64 bits est également requis pour les utilisations de type « sécurisation du SI » (exemple : Smart Card Logon) pour lesquels des mécanismes natifs intégrés au système sont mis en oeuvre.
•Renforce le niveau de sécurité des opérations d’authentification et de signature par la mise en oeuvre du volet IAS. L’utilisation du volet IAS garantit une sécurité renforcée par la possibilité de mise en oeuvre de taille de clefs supérieures et d’algorithmes de meilleur qualité (SHA2). En lien avec les mécanismes IAS, le principe de cloisonnement applicatif garantit qu’aucun logiciel ne peut mettre en oeuvre les fonctionnalités de la carte CPS sans l’autorisation du porteur.
Journée Nationale des Industriels - 13 Novembre 2014
2

3. Cryptolib CPS v5 - Généralisation
•28/10/2014 : Communication large ASIP Santé confirmant la généralisation de la Cryptolib CPS v5
•Actualité en première page du site esante.gouv.fr
•Campagne d’e-mailing ciblant l’ensemble des consommateurs de Cryptolib (éditeurs, intégrateurs, établissements de santé, …).
•Ce qu’il faut retenir :
•La Cryptolib CPS v5 est disponible pour tous les environnements couverts dans l’espace « Intégrateurs CPS » : integrateurs-cps.asipsante.fr
•La Cryptolib CPS v5 a été qualifiée pour l’ensemble des usages terrain ce qui inclus ceux de l’Assurance Maladie.
•La version 4 de la Cryptolib CPS n’est plus diffusée par l’ASIP Santé et n’évoluera plus.
•Le support sur la version 4 reste assuré jusqu’à fin mars 2015.
.
Journée Nationale des Industriels - 13 Novembre 2014
3

4. Cryptolib CPS v5 – Etat d’avancement
4
Journée Nationale des Industriels - 13 Novembre 2014
2013
T4
T1
T2
Juil.
2014
Cryptolib CPS v5
Mise à disposition des éditeurs pour test
Accompagnement des éditeurs
Août
Sept.
Oct.
Nov.
par la facturation par Ordres Transparents
1
Documentation technique
Cf. page suivante
3
Généralisation Cryptolib CPS v5
par les services de l’ASIP Santé
DMP, MS Santé
2

5. 5
•Référentiel documentaire technique disponible sur integrateurs-cps.asipsante.fr
•Présentation détaillée relative à la Cryptolib v5 et à son déploiement :
http://integrateurs-cps.asipsante.fr/fichiers/141024-ASIP-Presentation_Deploiement_Cryptolib_v5.pdf
•Documents axés sur la mise en oeuvre des nouveaux composants et nouvelles fonctionnalités de la Cryptolib v5 :
Cryptolib CPS v5 – Référentiel documentaire (1/2)
Journée Nationale des Industriels - 13 Novembre 2014
Note Technique décrivant précisément les points d’attention quant à la migration technique de l’utilisation des composants de la Cryptolib CPS v4 vers ceux de la Cryptolib CPS v5, notamment depuis le composant API CPS.
Note publiée en décembre 2013
Mise à jour de la Note Technique précédente aidant les éditeurs à appréhender les impacts des standards industriels actuels dans leur architecture logicielle, notamment lors de la migration décrite au point précédent :
Note publiée en septembre 2014 : ASIP-PTS-PSCE_NP_Cryptolib-CPS-v5-Impacts-migration- CPS2Ter-CPS3_20140912_v1.2.6.
Note Technique aidant à la mise en oeuvre de solutions basées sur les capacités sans-contact de la carte CPS3 :
Note à publier.
1
2
3

6. 6
Journée Nationale des Industriels - 13 Novembre 2014
•Autres documents (liste non-exhaustive) :
Guide de mise en oeuvre technique destiné plus spécifiquement aux chefs de projets de maitrises d’oeuvre et aux architectes techniques et applicatifs :
ASIP-PTS_Guide-de-mise-en-oeuvre-d-une-authentification-forte-avec-une- carte-CPS_20131217_v0.2.4.
décembre 2012
Note Technique décrivant les mécanismes de détection des composants de Cryptolib CPS installés :
ASIP-PTS-PSCE_NP_Guide-implementation-Detection-Cryptolib- CPS_20140305_v1.0.0.
mars 2014
Manuel de programmation à l’intention des éditeurs :
ASIP-PTS-PSCE_MP_Cryptolib-CPS-v5-Manuel-de- programmation_20131016_v1.5.0.
octobre 2013
Note Technique décrivant les mécanismes de détection de l’arrachage de la carte CPS de son lecteur :
ASIP-PTS-PSCE_NP_Guide-implementation-detection-arrachage- CPS_20131017_v1.0.3.
octobre 2013
Cryptolib CPS v5 – Référentiel documentaire (2/2)

7. 7
Journée Nationale des Industriels - 13 Novembre 2014
Cryptolib CPS v5 – Bonnes pratiques d’utilisation de la documentation ASIP Santé
Le « Manuel d’Installation et d’utilisation de la Cryptolib CPS v5 »
•Contient des recommandations d’intégration et de conception
•Contient un exemple de code C# requêtant sur l’usage de la clé
•Contient du code exemple Java
Le document « Cryptolib-CPS-v5-Impacts-migration-CPS2Ter-CPS3 »
•Reprend des exemples de mauvaises pratiques
•Les commente au regard des conseils de conception et d’architecture qui y sont par ailleurs dispensés
Les codes exemples de l’ASIP Santé sont fournis à titre documentaire. Ils ne sont pas destinés à être repris tel quel. Il convient avant tout de se les approprier et de les adapter aux contraintes de production et de maintenance propres à chaque solution.

8. 8
Journée Nationale des Industriels - 13 Novembre 2014
Cryptolib CPS v5 – Bonnes pratiques d’utilisation des certificats
Les applications doivent discriminer correctement les certificats au sein des magasins ou au travers des API afin d’en faire bon usage.
Pour rappel, cette opération doit se faire uniquement sur la base de l’examen du « KeyUsage » :
Certificat d’authentification Certificat de signature
Les méthodes de discrimination empiriques de certificats basées sur l’analyse de numéro de série ou de longueurs de clé par exemple sont à proscrire.

9. 9
ANNEXES
Journée Nationale des Industriels - 13 Novembre 2014

10. 10
Annexe 1 – Migration Cryptolib CPS v4 vers v5 (1/3)
Journée Nationale des Industriels - 13 Novembre 2014
Avant le déploiement :
Lorsque les Cryptolibs CPS déployées sont en version 4, les Applications s’appuient au choix sur :
•L’API CPS
•L’interface PKCS#11
•Ou les mécanismes du système d’exploitation : CSP (Windows), Tokend (Mac OS X).

11. 11
Annexe 1 – Migration Cryptolib CPS v4 vers v5 (2/3)
Journée Nationale des Industriels - 13 Novembre 2014
Début du déploiement :
Au démarrage du déploiement, la compatibilité ascendante est garantie par l’intégration dans l’installeur v5 des composants v4 suivants :
•L’API CPS
•L’interface PKCS#11
•Les mécanismes du système d’exploitation v5 sont entièrement compatibles.
Ainsi le passage de la v4 à la v5 n’impacte pas les LPS installés sur les postes de travail.

12. 12
Annexe 1 – Migration Cryptolib CPS v4 vers v5 (3/3)
Journée Nationale des Industriels - 13 Novembre 2014
Suite du déploiement :
Dans un deuxième temps, les éditeurs et intégrateurs doivent adapter leurs logiciels afin de leur faire utiliser le volet IAS de la CPS3 à travers les services de la Cryptolib CPS V5.
Les éditeurs ayant déjà fait les choix d’implémentation recommandés par Microsoft, Apple, l’ASIP Santé et le GIE SESAM-VITALE ont une très faible charge de développement, i.e. utilisation des interfaces PKCS#11 et CSP.
Les navigateurs ne sont pas impactés.

13. 13
Annexe 2 – Cloisonnement applicatif (1/2)
Journée Nationale des Industriels - 13 Novembre 2014
Chaque application et chaque logiciel doit authentifier le porteur afin d’utiliser les fonctionnalités cryptographiques de la carte CPS3 volet IAS à travers la Cryptolib CPS v5.
Ce cloisonnement garantit qu’aucun logiciel « indésirable » ne peut accéder à la CPS sans l’autorisation du porteur.
Les choix d’architecture d’invocation offerts par la Cryptolib CPS v5 sont :
•soit par l’utilisation de l’interface cryptographique système (interface CSP sous Windows).
•soit en utilisant directement la librairie au standard PKCS11.
Les autres architectures, en accord avec le GIE SESAM-Vitale, comme par exemple l’utilisation de l’API CPS, ne sont pas recommandées.

14. 14
Journée Nationale des Industriels - 13 Novembre 2014
Suivant l’architecture globale choisie pour le logiciel, le cloisonnement applicatif peut avoir des conséquences ergonomiques, notamment une augmentation des demandes de code porteur.
Lorsque l’architecture globale d’un logiciel est hétérogène dans ses modalités d’accès à la Cryptolib CPS, les contextes cryptographies de chaque accès sont alors désunis. Le cloisonnement applicatif impose alors une réauthentification du porteur par mode d’accès.
Une méthode unique d’accès aux services cryptographiques de la carte CPS doit être choisie. Elle doit être appliquée à l’ensemble du logiciel.
Annexe 2 – Cloisonnement applicatif (2/2)

15. PROJETS ET SERVICES
Merci de votre attention