Support de la Cryptolib CPS v5 - ASIP Santé
Contents
1. 11 43 Changement d aspect de la fen tre de saisie du code porteur sous Windows 63 11 5 Calculid signat re ira arreter en antenne rte tiens ee 64 11 6 Changement de comportement de C_WaitForSlotEvent sssssssseseesssssseseneesnssssrrennessssene 65 11 7 L API CPS est d pr ci e au profit de l interface PKCSH11 66 12 Description des modifications CSP ire 67 12 1 Propagation des Certificats esse rteneanne donnee te dessein in 67 13 Changement diinstall Urs ss stress datant de ai telnet al in rires nettes 68 13 1 Syst me 64bit avec Cryptolib CPS 64bit ins 68 13 2 Installations Full PC SC et GALSS factoris es eee 69 13 3 Possibilit de personnaliser les installations nnsnnnnnnennnssenenssenenssenenssennnsseeesssenerssernesserees 70 13 4 Configuration de la Cryptolib CPS iiiernrrnnne 71 13 5 Nouvelle version de CPS Gestion sise 72 13 6 Changement des menus D marrer sous Windows 73 13 7 Changement de nom du package RPM Linux ssosessssesesssseseeeesrsssseerresssssseserressssssreeenessssene 73 13 8 Changement de nom du Tokend sous Mac OS Xe 74 14 Gestion du cache des fichiers carte iii 75 15 Donn es m tiers farniente a a a e Premiers 76 15 1 Changement des donn es m tiers iii 76 15 2 Conseils sur les m thodes d acc s aux donn es du dico 77 15 3 Conseils sur l exploitation des donn es m tiers nssnnnsseneossene2. CiProyan Fi Politique G n rale de S curit des R f rentiels S PARER Louve M CONAN 7 roses ct 14 d Inf 2 leS tadhostene f esgioces eol 630K ClWndonsrs taskhostexe Syst mes d Information de Sant PR SENTATION DU tarot exe Wesgeges 00 408K C ndariSrs PGSSI S DES R F RENNELS tasmy exe f es oi 250K Cindy tasimgr exe 2 EN SAVOIR PLUS SUR LA PGSSI S R2 REFERENTIELS TSWMCache eue f esyopes 22K CProgamfles C Program Ph SIS IDENTIFICATION mrig exe w 178K FAQ INS ARCHITEC r 8 Affcer les processa de tous kes kate Processus 70 UC wailn e 0 M moire physique 45 Ce pe as Ut messayuriv gt s curis es LT Figure 18 Microsoft Internet Explorer 1 tab et l analyse de processus processus manager Mais Microsoft impl mente une courbe de mise l chelle ici pour 12 tab on obtient 1 9 processus Fichier Options Affichage asskatene Processus seras Perfomance een sen uv Nom de limage z Nom d utibsateur Processeur M moire Nom du chemin d Ligi Y 2 CCM exe fdesgrippes 00 22732K C Program Files C chrome exe 32 fdesgrippes 00 33968K C Program Fies C x y chrome exe 32 f esgrippes 00 25512K C Program Fies C TESTSSL pour Firefox Nigh chrome exe 32 fdesgrippes 00 35324K C Program Files C Librairies Crypto ASL EDN 00 1672K DesktopSearchService exe 32 fdesgrippe
3. Jusqu aux Cryptolib CPS v4 dans les environnements Windows la bo te de dialogue de saisie du code porteur tait embarqu e dans la librairie PKCS 11 Cette bo te de dialogue a t retir e de la DLL PKCS 11 et d port e dans le CSP Les applications qui utilisent la DLL PKCS 11 ne peuvent donc plus compter sur la bo te de demande de code porteur en passant NULL la fonction C_Login Remarque sous Mac OS X et Linux il n tait d j pas possible de passer NULL au C_Login avec la Cryptolib CPS v4 Revoir l architecture de la solution Pour savoir si le code porteur est actif pour l application en cours d ex cution il faut obtenir les informations de la session via la fonction C_GetSessioninfo et v rifier le champ state de la structure CK_SESSION_ INFO Cf MANUEL_PROG Cf 8 1 2 Algorithme de pr sentation du code porteur au niveau PKCS 11 Applications acc dant la carte via PKCS 11 Ex applications utilisant Java IAIK Tableau 25 Impact Changement de la gestion du code porteur 62 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 4 3 Changement d aspect de la fen tre de saisie du code porteur sous Windows RAR Des informations ont t ajout es la fen tre de saisie du code porteur sous Windows Il vous reste 3 tentative s Code Porteur Cryptolib CPS v4 ll vous reste 3 tentative s pour la carte CPS
4. Revoir l installation et le d ploiement de la solution Applications n utilisant pas ODI Applications utilisant ODI v rifier roadmap ODI pour volution installation Cryptolib CPS v5 Tableau 33 Impact Installations GALSS et PC SC factoris es 69 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 13 3 Possibilit de personnaliser les installations Installations param trables Avec la Cryptolib CPS v5 les installations MSI sont param trables en ligne de commande Cf MANUEL_INST_UTIL L installeur MSI installe automatiquement les composants v4 Full PC SC e sile GALSS n est pas pr sent le fichier galsvw32 exe ne doit pas tre dans WINDIR e et si la Cryptolib CPS v4 Full PC SC est pr sente Dans tous les autres cas ce sont les composants v4 GALSS qui sont install s par d faut Il est possible de composer les param tres disponibles V rifier le param trage propos par d faut L installation par d faut correspond l installation du CCM en mode de d tection manuel en fixant la fr quence de d tection des v nements lecteurs en mode automatique 2 sec et en fixant la fr quence de d tection des v nements lecteurs en mode manuel 600 sec msiexec i CryptolibCPS xx yy zz msi DETECTIONMODE 0 WATCHONTIMER 2 WATCHOFFTIMER 600 quiet Revoir l installation et le d ploiement de la solution p
5. o les objets PKCS 11 correspondant au volet IAS ont chang cf ci apr s o Ce qui n a pas d impact si les pr conisations PKCS 11 sont bien suivies cequin est pas le cas ici 22 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 3 Exemple 3 tude d un exemple en C 1 8 3 3 1 Code d acc s aux certificats CPx Le code suivant utilise CH pour r cup rer les 2 certificats carte et les identifier afin de faire ult rieurement soit une op ration de signature soit une op ration d authentification Code Commentaire 0 1 Namespace Pkcs11 On parle ici de PKCSH11 mais on int gre en fait au niveau CSP au travers 2 aier ekeni du RSACryptoServiceProvider NET 7 Int gration au niveau CSP NET est une bonne id e sous Windows Le nom PKCS 11 induit de la confusion et d soriente au moment de 3 L maintenir le code ou d valuer l impact d une migration par exemple migration de CSP dans ce cas et non de PKCS 11 4 public Pkcs11 5 x5 9Store new X589Store StoreName My StoreLocation CurrentUser 6 x589Store Open OpenFlags ReadWrite 7 foreach X509Certificate2 certificate in x509Store Certificates Cha nes en dur 8 if certificate Issuer mauvaise pratique magic string Equals CN TEST CLASSE 1 OU TEST PROFESSIONNEL O TEST C FR Sensible au changement d IGC Mettre en configuration
6. Cartes CPx Figure 7 Cas de multiplication des fili res d acc s carte CPx gt L utilisation parall le de F1 et F2 entraine potentiellement une double saisie de code porteur 28 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 6 2 Code d acc s la carte tude d un exemple en C Cette situation est illustr e ci apr s avec un code de LPS DMP Compatible Code Commentaire 2 bess 1 private void SaisirCodeCPS Execute object parameter 2 string codePin parameter as PasswordBox Password 3 an a resultatSaisiePIN cpsServices SaisirPIN NumSession Le logiciel demande une saisie de code porteur CPS pour 4 autoriser l acc s aux dossiers patients 5 6 EEES 7 public ResultatSaisiePIN SaisirPIN int numSession string codePIN 8 IntPtr etatCartePtr new IntPtr 9 StringBuilder codeSB new StringBuilder codePIN 10 CPS_StatutService cps_StatutService new CPS_StatutService 11 CPSRetourAPI retourCPS ParseRetour CPS_PresCodePorteur new IntPtr numSession codeSB ref cps_StatutService ref etatCartePtr 12 return new ResultatSaisiePIN retourCPS numSession 13 CPS_StatutService cps_StatutService etatCartePtr ToInt32 Cette saisie de code porteur passe par l API CPS 14 15 EERS 16 D1lImport cpsw32 EntryPoint CPS_PresCodePorteur SetLastError 17 true private static extern UInt16 CPS_PresCodePorteur IntPtr
7. Sur un syst me 64bit de type Win7 la fili re Cryptolib 64bit est charg e a minima par Isass exe Description du service Nom du service Nom du processus Isolation de cl CNG Keylso WINDIR system32 lsass exe Netlogon Netlogon WINDIR system32 lsass exe Emplacement prot g ProtectedStorage WINDIR system32 lsass exe e e oe comprende SamSs WINDIR system32 lsass exe Agent de strat gie IPsec PolicyAgent WINDIR system32 lsass exe Tableau 31 Impact Nouvelles DLL 64bit pour syst mes 64bit et par les applications 64bit utilisant les cartes CPx La fili re Cryptolib 32bit peut tre charg e par les applications 32bit SysWOW64 deux CSP Cryptolib sont charg s en parall le Impact sur la prise de trace Impact sur le nombre de sessions PKCS 11 gt Impact sur le chemin des DLL charg es Applications n utilisant pas ODI Applications utilisant ODI v rifier roadmap ODI pour volution installation Cryptolib v5 Tableau 32 Impact Nouvelles DLL 64bit pour syst mes 64bit 68 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 13 2 Installations Full PC SC et GALSS factoris es RCE 060 Un seul installeur pour les deux fili res Un seul installeur Cryptolib CPS v5 pour les deux fili res GALSS et Full PC SC au lieu de deux installeurs Cryptolib CPS v4 un pour la fili re GALSS un autre pour le Full PC SC
8. des structures de donn es et des ACLs pr cises lt 4 Appels gd APIs Responsabilit de l entreprise A Responsabilit de l entreprise B Figure 4 Application multi processus mise en place d une communication inter processus ad hoc 18 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 1 2 Solution 2 Communication inter processus via un bus d acc s cartes Stub acc s carte 1 et 2 peuvent tre des DLLs Saisie code porteur Saisie code porteur PKCS 11 peu d impact dans le code des processus 1 et 2 si ceux ci utilisent d j Ressources 1 Ressources 2 PKCS 11 agissant comme client RPC du processus acc s carte ex DLL ex DLL Stub acc s carte 1 Stub acc s carte 2 Cryptolib CPS skeleton peut prendre la Cryptolib CPS skeleton DLL forme d un wrapper PKCS 11 serveur RPC et tre lui m me une DLL PKCS 11 Cryptolib CPS DLL lt gt Communication inter processus via des API syst me pipes rpc net des structures de donn es et des ACLs pr cises r Appels d APIs Responsabilit de l entreprise A Responsabilit de l entreprise B Figure 5 Application multi processus mise en place d une communication inter processus via un bus d acc s carte 19 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015
9. permet d identifier l objet avec lequel on veut effectuer une op ration Cette impl mentation est conforme aux recommandations OASIS pour PKCS 11 CKA_ID is mandatory for all objects with all related objects e g private key and associated certificate being linked via a common CKA_ID and to make CKA_ LABEL mandatory for at least private key objects Cf MANUEL_PROGMANUEL_PROG Applications acc dant la carte via PKCS 11 Ex applications utilisant Java IAIK Tableau 19 Impact Changement d identifiants et de labels PKCS 11 51 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Cryptolib Carie Key Certificat Key Certificat A CPS Signature ID Authentification ID Technique ID CPS2ter 01000000 04000000 N A v4 CPS3 01000000 04000000 N A CPS2ter 1217 1216 N A v5 CPS3 E828BD080F8025000 E828BD080F8025000 E828BD080F8025000001 001FF001001 001FF001002 FF001003 Tableau 20 Liste des identifiants de cl Les informations concernant la carte CPS2ter sont fournies titre indicatif depuis mars 2014 toutes les cartes en exploitation sont des CPS3 52 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 EL 064 La mani re de calculer les identifiants de cl a chang A chaque objet PKCS 11 est associ un attribut CKA_ID Cette propri t permet d ident
10. Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 LA PRAIRIE PRESSE 2 en Recommandations 8 PKCSH11 Calcul de signature supporte la signature de P T T T 11 5 3 hash la carte finit le calcul RGS hash pr calcul h A et signe e L a EE L l Am liorati AA 9 pKcs 11 amp comportement de e mode bloquant est Arobl mes de m liorations des T Se 116 C_WaitForSlotEven support p performances ss aa performances d tect s avec Firefox e L API CPS est 10 PKCS 11 3 APPIE CIEA AU HERNE Standardisation T Hr SL 11 7 de l interface Aa A PKCS 11 Sous Windows 7 le service de propagation de Recommandation A 11 CSP e Propagation nes certificat alimente le architecture zg 7 12 1 certificats un magasin en parall le du Microsoft CCM 44 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Les syst mes 32bit sont nativement support s La Cryptolib CPS v4 s installe sur les syst mes Pa Syst me 64bit avec i Les syst mes 64bit sont T y AL 12 l 64bit Certaines f Support du 64b er Se 13 1 G R E e Cryptolib CPS 64bit i i nativement support s Pp e pa fonctionnalit s offertes par le syst me 64bit ne sont toutefois pas exploitables Installations Full de ne SA d Simplification du N A 13 G
11. ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 20Notes fin du document 89 90 Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris Tel 01 58 45 32 50 esante gouv fr
12. CPS3 09 04 2015 11 4 1 1 3 Cas Google Chrome sous Microsoft Windows 1 processus p re 1 tab par processus fst x D TESTSSLp x LATEST p x l gO TESTS pe x D TESTS pe x D TESTSSLE x WD TESTSSL p x gD TESTSSL p PR CG testsslasipsante fr z 1 Gestionnaire des tches de Windows ai o zi Fichier Options Affichage TESTSSL ASIP Sante T e ES Applications Processus Services Performance Mae en r seau Utissteurs Be Dim Nom de l image Nom dutissteusr Processeur M more Nom du chemin d COM exe f esgropes o2 22732K C Progam Fies drome exe 32 fdesgippes co 11776K C roganFiles drome exe 32 f ssgrpnes Le 48892K C Program Fies Tester l authentification d acc s avec M RTE f esrepes SR NE Er CPS2ter CPS2ter test drome erxe 32 f esgrippes Lee 11736K C Progem Fies CPS3 et CPS 3 test drome exe N f esgrones w J04K C Prog am Fies chrome exe 32 f esgrppes w 1169K CProgamfFies h ttps testssl asipsante fr chrome exe 32 fozsoropes w 11820K C Proyam Fies chrome exe 32 fdesgrippes w 11680K C Program Fies drome exe 32 fdssgropes 00 11744K C Program Fies domene o 7 00 AK Gogam lies c stexe 00 1668K Tanateur PS de FEneension CPE pas DeskiopSearchSence exe 32 f rsg poes 00 16632K CProyamFies Configuration du P riph rique PKCS11 et int gration des PGO fdesgriopes co 29 300K C Windons Sys explorer exe f esgrppes co 20656K C WMindows exp
13. CPS3 09 04 2015 9 4 Exemple 2 Chemin de migration v4 v5 pour une application utilisant le PKCS 11 9 4 1 Sch ma de principe Phase 1 Phase 2 LPS LPS y Analyse des carts Tous appels PKCS 11 v5 OK I I I TA i I I ryptoub CPS v5 install e E Utilisation des composants v5 comp sants v4 utilis s Cryptolib APS v4 install e Syst me Lecteurs Cartes CPx Figure 14 Chemin de migration v4 v5 pour une application utilisant le PKCS 11 40 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 9 4 2 Description Phase Description D veloppements Couts de transition depuis phase pr c dente LPS dans sa version courante v0 supportant la 0 Cryptolib CPS v4 et acc dant la carte CPx via API N A N A PKCS 11 LPS dans sa version v1 supportant la Cryptolib CPS Tests Q amp A avec la Cryptolib CPS v5 v5 et acc dant la carte CPx via le PKCSH 11 de la Mises jour des documents utilisateurs 1 es N A v4 i e via la partie Cryptolib CPS v4 apport e par Formation du Support l installeur Cryptolib CPS v5 D ploiement de la Cryptolib CPS v5 la place de la Cryptolib CPS v4 RS d veiobnemeiits Identification des objets PKCS 11 effectivement utilis s par le LPS LPS dans sa version v2 supportant la Cryptolib CPS p f N PP a Identification des quivalents PKCS 11 l aide de ce guide p PKCS 11 la v5 apr s identi
14. Ce num ro est conserv jusqu la La Cryptolib CPS v5 reprend la notion de session introduite par le fermeture de la session et doit tre fourni en ressource LAD standard PKCS 11 Cette session n est pas une session lecteur GALSS param tre pour toutes les autres APIs d acc s cette mais une session cryptographique ind pendante du support physique permettant d effectuer des op rations s curis es 79 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Fonction API CPS Ordinal Description Equivalent Cryptolib CPS v5 Lib rer les ressources qui lui taient assign es dans 02 CPS FermetureSession 2 les tables internes du gestionnaire et de provoquer la Idem point pr c dent fermeture de la session Application Ressource C tre de l application ventuell t ey 03 CPS_TestSession 3 EL ee jus po Las EL LE Idem point pr c dent session exclusive avec une ressource Remplac par les appels PKCS 11 Effectuer l introduction d une carte dans la fente d C_Initialize 04 CPS _IntroductionCarte 4 lt i Sc s s 5 lecteur C_OpenSession C_Login Remplac par les appels PKCS 11 t C_CloseSession 05 CPS_RetraitCarte 5 Mettre hors tension d une carte dans le lecteur C_Logout C_Finalize Remplac par les appels PKCS 11 Tester la pr sence d une carte dans le lecteur et C_Initialize 06 CPS_TestPr
15. Les applications 64bit peuvent utiliser la nouvelle DLL WINDIR System32 cps3_pkcs11_w64 dll La librairie 32bit se nomme d sormais cps3_pkcs11_w32 dll WINDIR System32 cps3_pkcs11_w32 dll sur OS 32bit WINDIR SysWOW64 cps3_pkcs11_w32 dll sur OS 64bit Cf MANUEL_PROGMANUEL_PROG Cf DETECT_CRY Applications acc dant la carte via PKCS 11 Ex applications utilisant Java IAIK Tableau 18 Impact Chargement des DLL PKCS 11 50 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 2 Gestion des identifiants et des labels PKCS 11 ZX o i Certaines applications utilisent des identifiants des cl s ou des labels d objets PKCS 11 cod s en dur Ces identifiants peuvent tre sp cifiques la version Cryptolib CPS v4 Les identifiants et les labels PKCS 11 ont chang 1 La mani re de calculer les identifiants diff rant selon les versions de Cryptolib CPS ces applications ne pourront pas signer des documents si la Cryptolib CPS v5 est install e 2 Les identifiants de certificats de signature et d authentification ont chang a Les chaines de caract res authentification ou signature sont remplac es par Certificat d Authentification CPS ou Certificat de Signature CPS D terminer l ID partir de la cl publique ou du certificat et du label A chaque objet PKCS 11 est associ un attribut CKA_ID Cette propri t
16. Mac OS X Le pr sent document suppose que les principales notions introduites par la Cryptolib CPS v5 sont acquises notamment apr s lecture de MANUEL_INST_UTIL Ce chapitre en reprend les l ments permettant d identifier les impacts de migration de la Cryptolib CPS v4 vers la Cryptolib CPS v5 7 1 Compatibilit ascendante compl te avec la Cryptolib CPS v4 Le premier l ment bien comprendre concernant la Cryptolib CPS v5 est qu elle assure une compatibilit ascendante avec la Cryptolib CPS v4 3 en copiant sur le disque lors de l installation les librairies de la Cryptolib CPS va 1 API CPS de la Cryptolib CPS v4 2 PKCS 11 de la Cryptolib CPS v4 3 CSP de la Cryptolib CPS v4 4 sous Microsoft Windows en enregistrant le CSP de la Cryptolib CPS v5 au niveau syst me a Le CSP de la Cryptolib CPS v5 est iso fonctionnel avec celui de la Cryptolib CPS v4 De fait installeur Cryptolib CPS v5 est compos des l ments suivants CSP TokenD PKCS 11 Composants v5 Figure 1 description de l installeur Cryptolib CPS v5 10 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Dans les diff rents cas list s ci dessous l installation d une Cryptolib CPS v5 est transparente pour une application s appuyant sur la Cryptolib CPS v4 Architecture de l application Description de l impact du passage de la Cryptolib CPS v4 la
17. d anticiper l effort que repr sente pour leur s application le fait de migrer vers du standard L quivalent de l API CPS dans les LPS peut tre r alis l aide de la nouvelle impl mentation du PKCS 11 de la Cryptolib CPS v5 voir tableau de correspondance en fin de document prendre la forme d un package de classes d di es isol et charg dynamiquement typiquement une DLL prendre la forme d un package de classes d di es embarqu et donc utilis statiquement est du ressort et de la responsabilit de l diteur 9 2 Strat gie nominale En apportant les composants de la Cryptolib CPS v4 utilisant le volet CPS2ter de la carte CPS3 et les nouveaux composants utilisant le volet IAS de la carte CPS3 le package actuel de la Cryptolib CPS v5 permet aux diteurs et aux int grateurs de mettre en place une strat gie progressive de migration de l utilisation du volet 2Ter vers l utilisation du volet IAS de la CPS3 En particulier un jalon TO peut tre pr vu les nouvelles applications o peuvent utiliser directement les nouveaux composants v5 correspondant au volet IAS de la CPS3 les anciennes applications o peuvent d ployer la nouvelle Cryptolib CPS v5 tout en utilisant les anciens composants v4 o dans une phase de compatibilit ascendante sans besoin de portage Par ailleurs les composants v4 sont destin s tre abandonn s les applications doivent programm
18. et acc dant la carte utilisateurs 1 CPx via l API CPS i e via la partie N A Formation du Support Cryptolib CPS v4 apport e par Te i D ploiement de la Cryptolib CPS v5 l installeur Cryptolib CPS v5 N la place de la Cryptolib CPS v4 D veloppement d un quivalent l API CPS au dessus du PKCS 11 de la Cryptolib optionnel peut tre substitu e CPS v5 pour limiter les changements d appels diss min s dans l application directement par la phase 3 p 4 ue SNS j Identification des appels vers l API LPS dans sa version v2 supportant la Cet quivalent peut prendre la forme d une DLL ind pendante ou d une ve re A CPS effectivement utilis s par le Cryptolib CPS v5 et acc dant la carte arborescence de classes d di es Dans tous les cas le pattern ad quat est de type LPS CPx via une API CPS reconstitu e au connection factory FR a f Identification des quivalents dessus de l API PKCS 11 sur la base dr 7 se e Si proue PKCS 11 l aide du tableau en 2 de l identification du sous ensemble Cette phase en reprenant les signatures de l API CPS permet l application de ne E d appels effectivement utilis s pas se concentrer que sur la carte sans toucher au reste du code en particulier cas de n cessaire de recoder toutes les LPS o les structures de l API CPS sont reprises telles quelles dans le reste de dv D veloppements m thodes de l API CPS l applica
19. golsvn32exe 32 fdesgropes e 916K C Windows gois hond exe f ssgrpnes w BNK C Uindonws Sys pt it m pers exe fdesgrippes w 1752K C Windows Sys ihecexe 32 f ssgrppes 00 1584K C Program Fies pusched exe 32 fdesgiopes 9 3208K C Propan Fies OcsSystray exe 32 f ssgrippes Le 1932K C ProgremFles OUTLOOK EXE 32 f esgropes w 56916K C Program Fies privowy exe 32 fdesgrppes w SHK C Progremfies SesrdProtocoHeost exe 32 f esgrpnes w 4576K C Windows Sys tadhost exe fdesgrppes 6348k C WindowsSys tatkhost ene f ssoncoes Lo 4048K C Windoms Sys m HF Afficher es processus de tous les utisateurs Processus 74 UC utilis e 2 M moire physique 45 Figure 20 Google Chrome 1 tab et l analyse de processus aff rente 10 tab 10 processus 11 4 1 2 Cas particulier des navigateurs Web avec plugin Java Dans le cas o une application utilise Internet Explorer pour l authentification par carte par exemple et une applet Java pour l utilisation des fonctions de la carte par la suite 2 processus 1 pour Internet Explorer modulo ce qui vient d tre expliqu dans le paragraphe pr c dent 1 autre pour la VM java acc dent la carte 1 double saisie de code porteur est probable 61 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 4 2 Bo te de saisie du code porteur hors DLL PKCS 11 AAA o Bo te de saisie du code porteur hors DLL PKCS 11
20. n ral PC SC et GALSS sont disponibles un pour Les deux fili res PC SC et processus g D D 122 la fili re GALSS un autre GALSS sont factoris es ja am a factoris es ies d installation A pour la fili re Full PC SC Am lioration du Possibilit de n A n A P L installeur peut prendre d ploiement Si Si 14 G n ral personnaliser les A A 13 3 des param tres en entr e notamment dans aan installations les SI de sant 45 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Configuration de la La Cryptolib CPS v4 se La Cryptolib CPS v5 se configure via la base de Recommandations PRE l a iabi Re g r 134 15 G n ral Cryptolib CPS configure via un fichier vogte des variables diteurs OS I 3 unique d environnement des A fichiers de configuration Le nouveau CPS Gestion e v6 xx trace les appels L API CPS est PKCS 11 pr ci fi Pn Nouvelle version CPS Gestion v5 xx trace A RERIERISE AU pron A A 16 G n ral de CPS Gestion les appels l API CPS L ancienne version est de l interface A A 13 5 PP toujours install e pour PKCS 11 cf point A compatibilit sous la 10 ci dessus d nomination 2ter M D Changement des Menu D marrer LL 2 R Programmes Coh rence du sb ae 17 G n ral menus D marrer Programmes i K Va 13 6 Sant Social poste de travail d g
21. o aeai a partir C_GetAttributeValue Certificat d Authentification CPS es donn es lues dans la carte Le certificat est 24 CPS _LectureX509 38 ee de ou renvoy l application sous la forme d une unique cha ne d octets C_GetAttributeValue Certificat de Signature CPS Voir plus haut les recommandations sur l utilisation des usages de cl s Provoquer le m canisme de v rification de la Non remplac au sein de la Cryptolib CPS v5 25 CPS_VerificationX509 39 signature du certificat X509 partir de la cl publique re ue de l appelant Remplac les appels syst me correspondant Extraire les donn es d tificat pr sent et P A 4 CS C gt Her an cer i ICAN re Non remplac au sein de la Cryptolib CPS v5 suppos bien issu l origine d une CPS Il est de la 26 CPS_InterpretationX509_CPS 40 responsabilit de l application de v rifier ensuite si les j valeurs de ces champs certifi s correspondent Remplac par l interpr tation des donn es m tiers ou de l ASN 1 des effectivement celles esp r es exemple contr le certificats la discr tion des applications API syst me framework du num ro de carte disponibles G n rer une valeur al atoire via la carte CPS qui Remplac ndr Pinterbr tation duretour d labpel 27 CPS_Genere_Alea_CPS 41 pourra par exemple servir de cl de session de p p p PP 2 A PKCS 11 C_GenerateRandom chiffrement le code porteur doit tre actif R cup rer le
22. sur un fichier en vue d une 8 signature C_DigestUpdate C_DigestFinal Rappel la CPS3 n accepte pas de signer un condensat zas R cup rer la liste des identifiants de fichiers de dan ceS Dirsituationks 33 situations d exercice du PS pr sents sur la CPS Non remplace Remplac par les appels PKCS 11 Provoquer le d clenchement du m canisme C Signinit 20 CPS_CalculAuthen2 34 a a EntNeamani de la CPS sur un d fi fourni de C Sign l ext rieur Cette API n cessite que le code porteur soit actif C_SignUpdate C_SignFinal Remplac par les appels PKCS 11 p edee Sue j C_Signinit 21 CPS _CalculSign2 35 rovoquer e d clenchement du m canisme e C Sign signature de la CPS sur un condens t C_SignUpdate C_SignFinal Remplac par les appels PKCS 11 C_Verifylnit 22 CPS_VerifAuthen2 36 Provoquer le oe enche mennas m canismes de C Verify v rification du r sultat issu d une authentification C_VerifyUpdate C_VerifyFinal Remplac par les appels PKCS 11 Dose d a i C_Verifylnit 23 CPS Verifsign2 37 TOvOdUEr e DENON EME mecanismes AE C Verify v rification du r sultat issu d une signature C_VerifyUpdate C_VerifyFinal 82 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Fonction API CPS Ordinal Description Equivalent Cryptolib CPS v5 Remplac par l interpr tation du retour de l appel PKCS 11 An a ea es
23. 0 2014 Si l intention est bonne ce type de code n est pas acceptable La colonne Commentaire explique pourquoi Code Commentaire 2 import org bouncycastle asn1 ASN1InputStream 1 Import a CAT on peci tic Conseil pas besoin de Bouncycastle et de toute sa hi rarchie de classes 2M0 2 import org bouncycastle asn1 DEROctetString i ag 3 import org bouncycastle asn1 DERSequence pour exploiter les TLV contenant les donn es m tiers de la carte CPx 4 import org bouncycastle asn1 DERTaggedObject 5 EE 1048576 1024 1024 bytes allou s alors que la structure CPS_ID_CARD 6 byte data new byte 1048576 Conteng al bytes Conseil en fonction de la m thode de lecture de cette donn e PKCS 11 APDU se pr occuper de l allocation m me en Java 7 Cl 8 read CPS ID CARD structure and put it in the data bytearray here Lecture de la donn e CPS_ID_ CARD depuis la carte 9 LS 19 ASN1iInputStream ais new ASN1InputStream data D but de l extraction de la Cat gorie Carte 11 DERApplicationSpecific o1 DERApplicationSpecific ais readObject 12 Ciel 13 DERSequence cpsIdCard DERSequence o1 getObject IMPLICIT TAG SEQUENCE IMPLICIT TAG SEQUENCE 16 ne pas mettre 16 en dure 14 DERTaggedObject categorieCarteTlv DERTaggedObject seq getObjectAt 2 Offset 2 F 3i me Tag dans DONNEES_METIER p Conseil R cup rer le sous tag par la valeur du tag ici recherche du tag 0x82 15 DEROctetStrin
24. 1016 v1 5 0 pdf Guide d impl mentation D tection de l arrachage de la ASIP carte CPS PSCE ARRACH_CPS 1 0 3 17 10 2013 Sant ASIP PUSC PSCE_NP_Guide implementation detection arrachage CPS_20131017_v1 0 3 pdf ASIP APIs Des Services Carte du Professionnel de Sant API_CPS nr are win32504_0 zip CW320504 doc cpmpracp doc Les donn es m tier de la CPS3 Volets CPS2ter et IAS ASIP DONNEES_METIER 1 0 2 Sant ANES ASIP_CPS3_Donn es m tier_v1 0 2 pdf CryptoLib CPS3 Sp cifications externes du module PKCS 11 ASIP PKCS11_EXT 1 0 1 S ante Sp cificationsExternes_PKCS11_CryptoLib_CPS3_v1 0 1 pdf Manuel d installation et d utilisation de la Cryptolib CPS MANUEL_INST_UTIL 5 0 9 a be d Sant ASIP PUSC PSCE_Manuel Installation utilisation Cryptolib CPS_20140912_v5 0 9 pdf Tableau 1 Documents de r f rence 1 Document distribu sur le site http integrateurs cps asipsante fr et n cessitant un compte int grateur 3 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 2 R sum Ce document reprend les l ments pr sent s dans MANUEL_INST_UTIL en se focalisant sur les impacts de migration de la Cryptolib CPS v4 vers la Cryptolib CPS v5 La Cryptolib CPS v5 assure une compatibilit ascendante avec la Cryptolib CPS v4 1 en copiant sur le disque dur lors de l installation les librairies de la Cryptolib CPS v4 2 en enregistrant
25. 3v1 2300808476 Code Porteur OoOo Eza v5 0 13 64b v02 10 00 64b Cryptolib CPS v5 La nouvelle bo te de dialogue de saisie du code porteur reprend les am liorations apport es par la Cryptolib CPS v4 Full PC SC et ajoute l affichage de la version de la Cryptolib CPS install e et du CSP instanci Si le mode EPM est activ la mention EPM appara t Applications faisant appel au CSP Tableau 26 Impact Changement de fen tre de saisie du code porteur sous Windows 63 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 5 Calcul de signature os Changement dans les m canismes de signature Pour signer un document la Cryptolib CPS v4 acceptait le sc nario suivant e Calcul de SHA1 du document hors Cryptolib CPS e Soumission du SHA1 obtenu pour signature la couche PKCS 11 via CKM_RSA_PKCS Ce sc nario n est plus possible avec la Cryptolib CPS v5 il faut utiliser CKM_SHA1 RSA PKCS Revoir l impl mentation de la solution Appeler la couche PKCS 11 avec CKM_SHAI_RSA_PKCS Cf MANUEL_PROGMANUEL_PROG Applications acc dant la carte via PKCS 11 pour signer des documents Tableau 27 Impact Changement dans les m canismes de signature 64 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 6 Changement de comportement de C_WaitForSlotEvent RE Changeme
26. 6 Crdomlep CWn E gasvw32 exe 32 fdesgrpnes Li 916K C Wrdomloss C iindomsi s rhcmd exe f esgones co 852K C Wndons Sys _ C Windons e expire exe KTOS O IPK Ciroyom Fies Crogan Fi gicre exe f esyopes o JISOK CProgam Pies CProgamA Grgas ere meny oes 1752K Ci ndons Sys CiMndons hed ere R f esgoves o 15K C ProgenFles C Program pached exe 32 f esgrppes 00 32X6K CfrogenFies C Progem Fi OcsSystray exe 32 f msgroces 1902K C ProgonFies CProgmA AMOKDE R f esgopes 00 BHK C Frogen Pies C Prog em M proxy exe 32 f esgropes ot 6016K C ProgenFies C Program Fi SeordProrcoont exe f ergeces co 19 Cindi C Wedons SesrdProtocohost exe I Res ones 90 0K CedonsSys Criindonsla tahhost exe f csroces 00 GAK Crdoms 5rs tadhestene tmbhost exe fKesgroves 0 400K C WndomsiSys tan exe f es ooes ot 252K Ciindons5ys img exe fi 28 AO T 2014 POLITIQUE PUBLIQUE Territoire de soins numff TMKahe exe f esgrones 0 30K CProganFis Copa wrtogon exe 00 INAK le projet de l ARS Oc an indien et du GCS Tesis retenu E us E IEMS PAROLE AUX R GIONS a E Afficher les procesas de tous les tisane Ex 7 E eem cameo noan x Ta Figure 17 Microsoft Internet Explorer processus manager process dans l architecture du syst me 58 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Des processus fils les process man
27. 6K CiiMindonsigois C IMindons GAL Nord exe Lesgvoes a mK Crdom n T Mmdonss Sya ghposere keng oos 1792K Cd T WindoasiSys phekewe 32 fesyopes w ISAK CProgan Pes U rogas Fles pached exe N fesxyooes co 328K C Progam Fies C Progans Fies OcsSystay exe 32 Meugeces w 1932K CProgamn Fies C Progen Fies AMOKOE R f es over w 42 0K C Progemfies C Program Fies proxy eue 32 f esgoces LL SEK CProgemfies C Progamfies SesrctProtocoMostene 32 fesyopes 420 CWndomsSn CMndoesiers tadhost ee Keugreces w EDOK CjWindansiSys adhest exe tad ost eue Sesroces 108K Cndons Srs wg eve t esyooes o 254K Ciiindons rs wimg ne N roMKacheene fdesyooes o 224K CProgremfies Ci Progr am Fles wriogonexe w 176K 28 JUILLET 2014 INTEROP RABILIT Le bilan positif du projet epSOI ET armur vanme Eten nann r an n mnnaue emare e m m m Ml EE Figure 15 Mozilla Firefox 1 tab et l analyse de processus aff rente 2 tab esante gouvi le portail de EA LES SERVICES esante gouv A esanegowtr se Nom de limage Nom d ut sates Processeur Minore Nom dy Ghemn Ligne de comme Otere f esgopes 00 2272K CiProgemFies C Proyen Fis Orss exe 0 t ga DesktopSearchService ene I2 fdesyopes 00 1579K CiProgan Pes C Program Fie dum ese f es cpes w IWEK Cnds Ciindowsisy explorer exe f esgropes C2 DMK Cindia Gido Es CEN feszopes D
28. 8 3 1 3 Solution 3 Int gration logicielle totale L int gration souhait e par A pour son produit des produits de B est formalis e sous la forme d une API expos e par B et utilis e par A B expose l int gralit de ses fonctionnalit s via des APIs logicielles document es Pour reprendre le sc nario correspondant Saisie code porteur initialement au cas d une application LPS K acc dant la carte pour ses besoins propres processus 1 et s interfa ant avec PAW PS DMP via un processus Internet Explorer embarqu processus 2 diteur 2 Microsoft cette solution correspond une int gration des API WS du DMP au sein de l application Ressources 2 ex DLL Cryptolib CPS DLL GALSS ou PC SC lt gt Appels d APIs Responsabilit de l entreprise A Responsabilit de l entreprise B Figure 6 Application int gr e utilisant la Cryptolib CPS pour acc der la carte CPx 20 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 2 Exemple 2 tude d un exemple en Java 8 3 2 1 Code d acc s la CPx Le code suivant utilise Java et PKCS 11 pour r cup rer les 2 certificats carte et les identifier afin de faire ult rieurement soit une op ration de signature soit une op ration d authentification Code Commentaire 2 ES 1 StringBuilder cardConfig new Stri
29. 9 if authentificationCertificate null 10 authentificationCertificate certificate 11 else if signatureCertificate null 12 signatureCertificate certificate 23 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 13 14 15 16 17 18 19 20 21 22 23 24 25 26 Code Commentaire if Int32 Parse signatureCertificate SerialNumber System Globalization NumberStyles HexNumber gt Int32 Parse authentificationCertificate SerialNumber System Globalization NumberStyles HexNumber signatureCertificate authentificationCertificate authentificationCertificate certificate end if certificate Issuer end foreach end constructor end class end namespace El D tection du type de certificat sur la base de la comparaison de num ro de s rie Compl tement propri taire ASIP Sant C est correct cf ci apr s mais d conseill Pourrait changer de fait cela changer depuis le 24 06 2014 la logique depuis est exactement l inverse rendant ce code non fonctionnel et non conforme aux r f rentiels de s curit puisqu on peut d s lors signer des challenges d authentification avec la cl de signature Contraire aux bonnes pratiques Crypto Pr f rer l utilisation de l usage Qui plus est l usage est expos par les APIs
30. CK_INVALID_HANDLE tous les objets avec la CKA_ CLASS CKO_CERTIFICATE 26 rc pFunctionList gt C_FindObjects hSession amp hCert ulMaxObjectCount amp ulMaxObjectCount ulMaxObjectCount 2 et d it rer sur le keyUsage du 27 certificat pour trouver celui qui correspond notre usage Tableau 10 Exemple 5 C 26 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 5 2 Conclusion Ce code qui provient du Manuel de Programmation dans sa partie lecture de certificat est uniquement valable sur le PKCS 11 de la Cryptolib CPS v5 du fait de l utilisation en dur du label Certificat de Signature CPS Pour rappel pour la lecture le Manuel de Programmation utilise le label pour s lectionner un objet de classe CKA_CLASS CKO_CERTIFICATE puis passe au code de lecture du certificat proprement dit Id alement il vaut mieux initialiser un template de recherche sur les objets CKA CLASS CKO_CERTIFICATE it rer et parser les r ponses et ressortir que le CKA_CLASS CKO_CERTIFICATE avec le bon key usage Ce qui am ne 3 consid rations 1 des consid rations de performances 2 des consid rations de d pendances besoin d OpenSSL pour parser le certificat par ex 3 cet endroit du manuel le but recherch est de pr senter la lecture de la valeur du certificat pas sa s lection Une remarque aff rente importante un code utilisant l obj
31. Il est encore moins compr hensible que les demandes de saisie de code porteur se fassent via des champs de saisie diff rents manque de coh rence d faut d ergonomie de l application 8 2 Niveau et homog n it de l int gration avec la carte Les chapitres pr c dents font appara tre un point important les applications doivent se pr occuper du niveau et du degr d homog n it de leur int gration avec la carte 4 r gles se d gagent Recommandation D tails cf MANUEL_INST_UTIL 1 L int gration doit se faire pr f rentiellement au niveau du e CSP pour Microsoft syst me e PKCS 11 pour Linux e TokenD pour MacOS X 2 A d faut l int gration doit se faire au niveau PKCS 11 logiciel cross plateforme par exemple Dans le cas particulier d une int gration experte integration au niveau enaisi Hi consequence cf MANUEL_INST_UTIL par exemple int gration au o de besoins clairement identifi s et 3 niveau PC SC par des entreprises ayant une expertise exprim s r av r e en cartes IAS PC SC Cryptographie o etdes comp tences expertes identifi es x ee et disponibles 4 L int gration doit se faire un seul et m me niveau Pas de m lange des niveaux Tableau 6 R gles d int gration avec la carte Les applications existantes ne respectant pas ces 4 r gles pr sentent un d faut d architecture 15 90 ASIP Sant Support de la Cryp
32. NET csp KeyNumber int KeyNumber Signature par exemple cf MANUEL _INST_UTIL Tableau 8 Exemple 3 C 8 3 3 2 Conclusion ce code n est pas impact TO par la migration Cryptolib CPS v4 vers Cryptolib CPS v5 o carle package Cryptolib CPS v5 d ploie les composants Cryptolib CPS v4 ce code n est pas impact au moment de passer l exploitation du volet IAS de la CPS3 car o le CSP v5 est iso fonctionnel avec le CSP v4 encore faut il savoir que seul le niveau CSP est pertinent ici et pas le niveau PKCS 11 ce code ne s inscrit pas du tout dans les bonnes pratiques cryptographiques et dans les bonnes pratiques du g nie logiciel tout court et pose probl me depuis le 24 06 2014 date laquelle les cartes CPx contiennent des certificats ordonn s diff remment ce code doit tre remplac par les appels l API Cryptographique pertinente du NET Framework 24 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 4 Exemple 4 tude d un exemple en C 2 8 3 4 1 Code d acc s aux certificats CPx Le code suivant utilise C pour e r cup rer les 2 certificats carte CPx en it rant dans le magasin de certificats Microsoft e les identifier afin de faire ult rieurement soit une op ration de signature soit une op ration d authentification Ce code fait implicitement 2 hypoth ses 1 Iltable sur le fait qu il n y a qu
33. P de la Cryptolib CPS v5 PKCS 11 de la Cryptolib CPS v4 D sisnature f Authentification CSP TokenD PKCS 11 Composants v5 Composants v4 Figure 11 Cas de multiplication des fili res d acc s carte CPx Le probl me se r gle d une seule fa on 1 En suivant les pr conisations de l ASIP Sant ci apr s 33 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 4 Illustration de la pr conisation d architecture LPS Composants v5 Lecteurs Cartes CPx Figure 12 Pr conisation d acc s la carte CPx L API CPS n est plus maintenue par l ASIP Sant L application est responsable de la saisie du code porteur sans cache L utilisation parall le de F1 et F n entraine pas de double saisie de code porteur le module commun PKCS 11 g rant une session avec code porteur pr sent 34 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 9 Strat gie de migration de la Cryptolib CPS v4 vers la Cryptolib CPS v5 9 1 Rappels La strat gie de ASIP Sant est de ne plus distribuer que des interfaces standards PKCS 11 et CSP ou TokenD et d abandonner la distribution et le support de l API CPS Les LPS exploitant la carte CPx ont tout int r t bien s architecturer afin de bien isoler la partie acc s carte CPx en leur sein Les diteurs ont besoin
34. PKCS 11 a Support plus standard des op rations cryptographiques b Calcul de signature avec un dernier tour de hash calcul par la carte c Utilisation plus standard des attributs des objets PKCS 11 i Qui permet notamment de d pr cier l API CPS 8 Le support du standard IAS ECC a Avec comme perspective la signature qualifi e l interop rabilit avec les syst mes d information des autres pays europ ens Ces volutions peuvent avoir des impacts 1 sur les applications utilisant l API CPS a TO comme expliqu plus haut l installeur de la Cryptolib CPS v5 installe API CPS i il n y a aucun impact b il est conseill de remplacer les appels cette API par des appels quivalents l API PKCS 11 i voir ci apr s pour le d tail de la migration appel par appel 2 sur les applications utilisant d j le PKCS 11 de la Cryptolib CPS v4 a avecune utilisation peu standard des appels PKCS 11 3 sur les applications ne g rant pas parfaitement la saisie du code porteur a en particulier sur les applications existantes n ayant pas cherch rationaliser leurs fili res d acc s aux cartes que ces cartes soient CPx ou Vitale Ces points sont repris dans le d tail ci apr s 12 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 Pr conisations d architectures logicielles pour les LPS 8 1 Gestion du code porteur 8 1 1 Architecture logicielle
35. Support de la Cryptolib CPS v5 Impacts de la Migration CPS2Ter vers CPS3 V1 2 10 du 09 04 2015 AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 ASIP Sant PUSC PSCE Version 1 2 10 du 09 04 2015 Historique du document Version Date Auteur Commentaires 1 2 6 10 09 2014 ASIP Conseils CPTAB 129 20 10 2014 FAI Probl me 8 3 3 depuis le 24 06 2014 KEY_ID Sans contact 1 2 8 12 11 2014 ASIP Remarque sur la gestion du cache par les diff rentes versions de la Cryptolib CPS Mise jour Glossaire Fe garoa 20S ASIR Pr cisions alternative pour l acc s au DAM 1 2 10 09 04 2015 ASIP Mise jour Sch ma saisie de code porteur 2 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 1 R f rences Documents de r f rence N Version Date Auteur Document Note technique Impl mentation de la d tection de la Cryptolib ASIP FPE DETECT_CRY 1 0 0 05 03 2014 Sant ASIP PUSC PSCE_NP_Guide implementation Detection Cryptolib CPS_20140305_v1 0 0 pdf Cryptolib CPS v5 Manuel de Programmation ASIP MANUEL_PROG 1 5 0 16 10 2013 f Sant ASIP PUSC PSCE_MP_ Cryptolib CPS v5 Manuel de programmation_2013
36. UEL_PROGMANUEL_PROG Cf 8 Pr conisations d architectures logicielles pour les LPS Applications acc dant la carte via PKCS 11 Ex applications utilisant Java IAIK Tableau 24 Impact Changement de la gestion du code porteur 55 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 4 1 1 Cas particulier des navigateurs Web La gestion des processus est diff rente d un navigateur l autre et nous ram ne au chapitre 7 suivi des standards et au chapitre 8 architecture Ces gestions diff rentes sont autant de sources possibles de comportements diff rents vis vis de la saisie du code porteur Le cas g n ral peut tre d crit en premi re approximation par e _ 1 tab 1 processus e sauf sous Mozilla Firefox o un processus unique est g n ralement constat Ces gestions des processus entrainent des comportements SSL diff rents et donc des comportements de demande de saisie de code porteur diff rents 1 nouveau processus peut entrainer une ren gociation SSL compl te 1 nouveau tab n entrainera pas forc ment une ren gociation SSL On parle pour la ren gociation SSL de false start ou de full ren gociation o le terme ren gociation SSL est souvent mal utilis Les navigateurs et les serveurs font tout pour ne pas avoir n gocier et ren gocier un canal SSL Dans les cas o l un ou l autre sont forc
37. _15100K Gpo Pe CPozanfke Games I2 f esgropes 00 SEX Cindonsigss C iindonsiGA himd exe f engioves 0 5924 Cinde ys Cnds ft ACTUS TRIBUNES LEMAG PAROLE AUX R GIONS ETUDES amp cfpersene f esyropes 1782K Ciiedows Ers C Mindosy 4 A 4 4 p hedeexe 32 toesyopes 00 1534K CifrogemFies C Program Fie R f rentiels Espace CPS Espace DMP Espace MSSant Labellisation MCS Juridiqh 4e e 32 rates RASE CPR OcsSystray ent 72 fdesgriopes 0 100 CProyanfes C Progon Pie OMOOLDE 32 f esgiopes 01 45308K C ProgemFies TiProgan Fie Pugnrcontaner exe 32 f esgropes 292 C ProgemFies C Progan Fie prhroxy exe 32 f engopes GIK CProyanfes CiProgramFla tashosLene fdesyiopes EWK Cindy tadhostee uahostere f esgrenes 00 ADK Cndows Srs umg exe f esgioves w 254K Gynios smg eve 2 TSWNCache exe f esgiones co 229K CiProgenfies Cifrogemfie et de le mardi AGENCE DES SYST MES rOn exe Li 178K stoge D INFORMATION der sytmes d information da soete PARTAC S DE SANT Politique G n rale de S curit des R f rentiels Syst mes d Information de Sant ro PGSSI S H m es Ti Fe 2f 1 aMtener ies proces de ius ies valeurs AMON ef N f f BAP Processus 64 UC utilis e 2 M moire phrysique 43 ee np F Figure 16 Mozilla Firefox 2 tab et l analyse de processus aff rente Mais ce n est pas le cas g n ral 57 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de
38. ager qui s ex cutent par d faut en 32 bit gt Dans un premier temps 1 processus par process manager suppl mentaire PT Gone tas een Fiche Optens Affichage Nom de limoge Nom d utisses Processer M more Nom du chemn g Uge de comma COMeue f eugiopes ZA27AK CProgamFies CProgon Fi drome ere 22 fdesgrones 0 13 4K CFrogamfies Ci Prog oem Fie crome exe 32 f esgropes w 25516K_OProgamfies C Program Fh drome exe 32 foesgrones C1 3560K CVrogemFies C Program Fi wee w 1672K ft ACTUS TRIBUNES LEMAG PAROLE AUX R GIONS DedinpSesrdhSenice ene 32 fdesgropes 00 1608K CVrogamF es CiPropram Pl 4 4 A d Grese f engrenes w IGK CPMindsiSys C Windoasis Ru SE E DPE MSS bellisation MCS ergiorer exe fdesgropes 29416K Chndomte CMndons Ex cs gome 32 f esgopes w 915K Cindossigss CiMindonsiGA Mcrnd exe fdesgropes w ENK CindomsSys Tynd explore eue fdesgrones w BINK C FrogemFies C Progon Fh eoe exe f esgiopes_ CI 4 500K _C Program Fies C Program Fi f eagiones w 179K CPi Tinos chedere 32 f esgropes LI 154K Cfrogaemfies C Progrem P pahed ewe 32 f esgiones w 30K CProg sFies CiProgyan Fi aas T disent ainiigi a aeS Oesbyitrar ene 32 f esgrcces 00 190K CProyemFles C Proyss Fh ven vgtians Fetma de se PARTAC S DE SANT CQUTLOCK DE 32 f esgropes w S144K CProgemPies C Progan Pk provoxy exe 32 fdesgroces w 6112K Cprog mfFies
39. aphiques en l algorithme de PKCS 11 g T g 11 2 labels PKCS 11 particulier les cl s de r cup ration des bi cl s A signature et les cl s d authentification 42 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 L utilisation de la DLL e PKCS 11 fournie permet Identification de la CEMENTA AN vreu Changeman ae Recommandations 4 PKCS 11 amp A m canisme de d tection l algorithme de d tection T T Se 113 carte ins r e PKCS 11 pae de la pr sence et de de la pr sence de la carte A l arrachage de la carte CPS efficace APIE QUE Le code porteur est entr Le code porteur est entr 1 Recommandations 5 PKCS 11 porteur pour porn P LU T T T 11 4 1 So une seule fois fois par processus de s curit chaque application s l application utilisant la B s aaea 3 A ore desaise ON La librairie PKCS 11 g re librairie PKCS 11 est Recommandations A ae 6 PKCS 11 code porteur hors H Le Set es 11 4 2 la saisie du code porteur responsable de la saisie du PKCS 11 am me DLL PKCS 11 code porteur Changement PKCS 11 d aspect de la cu Evonas reste 3 tentatives peur ls carte CPSIV1 2NOLOEATE Mme aration de lt 7 CSP fen tre de saisie du CORTE E rs l ergonomie et du I A 11 4 3 code porteur sous zi support Windows 5 0 13 32b 82 10 00 320 43 90 ASIP Sant
40. ar exemple e Installer les composants en mode d tection automatique msiexec i CryptolibCPS xx yy zz msi DETECTIONMODE 1 quiet e Installer les composants en fixant la fr quence de d tection des v nements lecteurs en mode automatique msiexec i CryptolibCPS xx yy zz msi WATCHONTIMER 2 quiet nstaller les composants en fixant la fr quence de d tection des v nements lecteurs en mode manuel msiexec i CryptolibCPS xx yy zz msi WATCHOFFTIMER 600 quiet e Restaurer en ligne de commande msiexec i CryptolibCPS xx yy zz msi RESTAURE 1 quiet e Installer les composants v4 GALSS E msiexec i CryptolibCPS xx yy zz msi CPS2ter 1 quiet e Installer les composants v4 Full PC SC msiexec i CryptolibCPS xx yy zz msi CPS2ter 2 quiet Applications n utilisant pas ODI Applications utilisant leurs installeurs appelant les installeurs ASIP Sant Applications utilisant ODI v rifier roadmap ODI pour volution installation Cryptolib CPS v5 Tableau 34 Impact Installations param trables 70 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 13 4 Configuration de la Cryptolib CPS LC 660 La mani re de configurer la Cryptolib CPS v5 est diff rente de celle de la Cryptolib CPS va La configuration permet principalement de fixer un niveau de traces La Cryptolib CPS v4 se configure via un fic
41. b CPS v5 continue d apporter et d installer une API et une impl mentation d acc s aux donn es du dictionnaire DICO A terme e les donn es quantit s valeurs sont amen es changer o du fait notamment des volutions constat es des m tiers Sant Social e e format du fichier DICO FR GIP sera sans doute amen changer o du fait notamment du point pr c dent e la mani re de r cup rer ces informations fichier versus webservices pourrait changer Les 2 DLLs cptabw32 dil et cptabw64 dil cette derni re tant fournie partir de la Cryptolib CPS v5 sont actuellement utilis es par CPS Gestion pour exploiter les donn es de DICO FR GIP Un premier conseil ne pas embarquer les donn es du dico dans le code Un second conseil pr parer les logiciels en les concevant de mani re anticiper un changement de grammaire de DICO FR GIP et en apportant ses propres impl mentations de lecture de ce type de donn es par exemple en impl mentant le canevas DAO Data Access Object pattern Ce type de pr paration migration peut tre organis sur le mod le de ce qui est pr sent plus haut pour l API CPS 77 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 15 3 Conseils sur l exploitation des donn es m tiers 15 3 1 Exemple exploitation de CPS_ID_CARD Le code suivant exploite la donn e CPS_ID_CARD pour extraire la Cat gorie Carte 20 1
42. code porteur au niveau PKCSH11 snsnnnsenensseneesseeeesseeee 14 Figure 3 Application multi processus utilisant la Cryptolib CPS pour acc der la carte CPx 17 Figure 4 Application multi processus mise en place d une communication inter processus ad hoc18 Figure 5 Application multi processus mise en place d une communication inter processus via un p s d acces cartes mnt en entente nee nd Hire nee nee 19 Figure 6 Application int gr e utilisant la Cryptolib CPS pour acc der la carte CPX ss n00sn0 20 Figure 7 Cas de multiplication des fili res d acc s carte CPx 28 Figure 8 Fen tre de saisie du code porteur CPx par le logiciel lui m me sssnnnnnnnnnssnensseneessenenssenne 30 Figure 9 Fen tre de saisie du code porteur CPx via le CSP Cryptolib CPS v5 ASIP sant 0 000 30 Figure 10 Cas de multiplication des fili res d acc s carte CPx cas de l API de Facturation SESAME AE EE E ENEO ee et nn es der E E ed ne ee ea dd 32 Figure 11 Cas de multiplication des fili res d acc s carte CPx 33 Figure 12 Pr conisation d acc s la carte CPX iii 34 Figure 13 Chemin de migration v4 v5 pour une application utilisant PAPI CPS ssssnsonnsosnssnnsseesse0se 36 Figure 14 Chemin de migration v4 v5 pour une application utilisant le PKCS 11 40 Figure 15 Mozilla Firefox 1 tab et l analyse de processus aff r
43. des composants iso fonctionnels avec ceux de la Cryptolib CPS v4 CSP par exemple Dans un premier temps l installation d une Cryptolib CPS v5 est donc transparente pour une application s appuyant sur la Cryptolib CPS va L installeur de la Cryptolib CPS v5 d ploie par ailleurs des composants logiciels en version 5 qui apportent 4 volutions importantes 1 Une meilleure compartimentation du code porteur 2 Un meilleur support des architectures Microsoft Windows 3 Un meilleur support du standard PKCS 11 4 Le support du standard IAS ECC Ce guide identifie les d veloppements qu il est n cessaire d effectuer afin de passer d une utilisation du volet CPS2Ter une utilisation du volet CPS3 et de tirer pleinement parti de ces am liorations Cette phase de migration applicative peut donc se faire dans un second temps 4 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 3 Sommaire L 1 R F TENCES A MR ADN T ee ee A SR O Te EER ne Ke Se Ne ne E 3 27 R sum s re fon lente Dent Ares Tete ler ren Core te lens 2e ma st lens 4 3 SOMMAIRE rien rst er M torse nets A mA Ten ets ne ous AAEE ER AEE Dane nn Pen AAEE etes ane Lattes 5 4 Glossaire sine suite ra in ten de nrre mater fre mean ere eee fre ten tenant 7 5 Listedesentreprises cit es surnine sh rmenannn tes None t tn een nie den ddr den see re 8 6 Avertissements zh nn ue nn ni nu ttan es denied santa at te Us aa de
44. e 2 certificats dans le magasin les 2 certificats attach s la carte CPx ce qui n est g n ralement pas le cas a L utilisateur peut avoir des bi cl s logiciels en plus des certificats CPx dans son magasin personnel b Sile CCM est arr t le service de propagation Microsoft n efface pas les certificats lors du retrait carte tous les certificats de toutes les cartes vues par la machine sont pr sents en magasin 2 Iltable cependant sur le fait que les l ments sont stock s ordonn s dans le magasin Code Commentaire Fe 1 if certificats Count 2 2 cpsCertificates new CpsCertificates 3 cpsCertificates SignatureCertificate certificats ElementAt 4 cpsCertificates AuthenticationCertificate certificats ElementAt 1 5 6 A NE PAS FAIRE le magasin personnel de certificats peut contenir d autres certificats que ceux associ s la CPS A NE PAS FAIRE personne ne garantit l ordre des l ments en magasins ou dans le tableau m moire Tableau 9 Exemple 4 C Ce type de code n est pas p renne 25 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 5 Exemple 5 tude d un exemple en C 8 3 5 1 Code d acc s la CPx Le code suivant utilise C et PKCS 11 pour r cup rer les 2 certificats carte et les identifier afin de faire ult rieurement soit une op ration de signature so
45. eR OEN SEEE ine ne fete ns u 35 9 2 Strat gie nominale free onde tite ere ne aie rem item dite 35 9 3 Exemple 1 Chemin de migration v4 v5 pour une application utilisant PAPI CPS 00 36 9 3 1 Sch ma d principes nn nn ln nn nee odeurs 36 9 3 2 D scriptioh sssssetssiher tenues des minette tentent en tend ea ER aa iias 37 9 3 3 CO TS rare nn antenne dent cet nee ne Pt enr meet aia aae 38 9 4 Exemple 2 Chemin de migration v4 v5 pour une application utilisant le PKCSH 11 40 9 4 1 Sch ma d prin ip issisnsine nine nn ne en a EEEa T AS ee nid 40 9 4 2 D scripti N eiee one nine tente a entente AEAEE EASi 41 10 Aper u g n ral des diff rences entre Cryptolib CPS v4 et V5 42 11 Description des modifications PKCSH11 US iisesnssenns 48 11 1 Chargement des DLL PKCSH11 ere 49 11 1 1 Changement de nomenclature des librairies 49 11 1 2 Nouvelle librairie 64bit ire 50 11 2 Gestion des identifiants et des labels PKCSH1I1 nssesssssesssssesesssesrsserssssrrrnssrrrrsserersserenssreens 51 11 3 Identification de la carte ins r e ire 54 11 4 Gestion du code porteur iiiiieisnisseieeensreeseesrereneeeseeseesnnnnns 55 11 4 1 Saisie du code porteur pour chaque application 55 11 4 2 Bo te de saisie du code porteur hors DLL PKCSH11 nnssnnnsennnsseoeessenerssenenssreesserensne 62 5 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015
46. ent L attention de l utilisateur est attir e sur l importance de respecter strictement les proc dures d crites dans le pr sent document Toutes les proc dures qui y sont d crites ont t pr alablement test es par l ASIP Sant Elles doivent permettre l utilisateur d valuer les efforts de migration vers l utilisation la Cryptolib CPS v5 sur son poste de travail ou tout autre dispositif informatique En cas de non respect de ces proc dures et des conditions normales d utilisation de la Cryptolib CPS v5 sa mise en uvre est susceptible d engendrer des dysfonctionnements dans l environnement de travail de l utilisateur En cas de dysfonctionnement quel qu il soit ASIP Sant pr tera dans la mesure du possible assistance l utilisateur qui ne pourra rechercher sa responsabilit en cas de non respect des proc dures d crites dans le pr sent manuel Sur les liens externes Le pr sent document contient des liens vers des sites Internet Ces liens ne visent qu informer l utilisateur Ces sites Web ne sont pas g r s par l ASIP Sant et l ASIP Sant n exerce sur eux aucun contr le leur mention ne saurait engager l ASIP Sant quant leur contenu L utilisation des sites tiers mentionn s rel ve de la seule responsabilit du lecteur ou de l utilisateur des produits document s Sur les copies d cran et les lignes de commande Les lignes de commandes donn es ci apr s le sont titre indicati
47. ente s nnnnnnnnsenenssenenssenenssereesseene 57 Figure 16 Mozilla Firefox 2 tab et l analyse de processus aff rente 57 Figure 17 Microsoft Internet Explorer processus manager process dans l architecture du SYST ME nr M E ST ARR ne MATE Re ni E tam En ee seed tan o Eee a 58 Figure 18 Microsoft Internet Explorer 1 tab et l analyse de processus processus manager 59 Figure 19 Microsoft Internet Explorer 12 tab et l analyse de processus processus manager 59 Figure 20 Google Chrome 1 tab et l analyse de processus aff rente 10 tab 10 processus 61 86 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 19Annexe Liste des tableaux Tableau 1 Documents de r f rence sise 3 Tableau 2 Glossair ssss rats sn mentir de rise tete terne die tenant en atteste nl tnt 7 Tableau 3 Entreprises titels eain E na le a EE nt tt anne dre dat rene net iv 8 Tablea u 4 Avertissements nacar Mt de ane nn dise a las Gt e 9 Tableau 5 Impact du passage de la Cryptolib CPS v4 la V5 11 Tableau 6 R gles d int gration avec la carte 15 Tableau 7 Exemple LE Java 28 aie LA nt a ana ns AA nn at tt A RS na 22 Tabl au 8 Exempl 3 CH sr interim re tint te rares Me tiau 24 Tableau 9 Exemple IC RE RM Mine ire denis da een MAR a donne dan s en de Lans dt dinde destin este 25 Tableau 10 E
48. er les acc s carte CPx Le probl me se r gle de 2 fa ons 1 Utiliser les composants v5 avant l API CPS 2 Avec les lecteurs PSS le code porteur ne sera pas redemand 3 Avec les lecteurs PC SC L tat carte code porteur pr sent expos par l API CPS peut tre ignor a Gestion de l erreur de lecture de ressource prot g e par code porteur d volue l application 2 En suivant les pr conisations de l ASIP Sant ci apr s 31 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 6 4 Un autre cas probl matique l acc s direct la liaison lecteur PC SC ou GALSS CSP TokenD Saisie code Composants v5 Syst me Lecteurs Cartes CPx Figure 10 Cas de multiplication des fili res d acc s carte CPx cas de l API de Facturation SESAME Vitale 1 40 gt Dans ce dernier cas l utilisation parall le de F1 et F2 entraine aussi potentiellement une double saisie de code porteur 32 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Le probl me se r gle de 2 fa ons 1 Enimposant le code porteur via F1 avant de passer par F2 qui pr suppose de son c t que le code porteur a d j t pr alablement soumis et donc ne le redemande pas 2 En suivant les pr conisations de l ASIP Sant ci apr s 8 3 6 5 Un autre cas probl matique l acc s en parall le aux composants CS
49. er leur migration vers les nouveaux composants de la Cryptolib CPS v5 PKCS 11 v5 ou CSP TokenD v5 Les applications en particulier les applications existantes doivent donc pr voir un jalon T1 partir duquel e elles auront abandonn l utilisation des composants v4 et donc l utilisation syst matique du volet CPS2Ter e elles basculeront vers l utilisation syst matique des interfaces syst me CSP TokenD ou PKCS 11 de la Cryptolib CPS v5 Ce document permet d valuer les t ches r aliser pour y parvenir 35 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 9 3 Exemple 1 Chemin de migration v4 v5 pour une application utilisant API CPS 9 3 1 Sch ma de principe Phase 0 Phase 1 Phase 2 Phase 3 PKCS 11 installeur v5 Syst me Lecteurs Cartes CPx Figure 13 Chemin de migration v4 v5 pour une application utilisant l API CPS 36 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 9 3 2 Description nn Co ts de transition depuis la Phase Description D veloppements p phase pr c dente LPS dans sa version courante v0 0 supportant la Cryptolib CPS v4 et N A N A acc dant la carte CPx via l API CPS Tests Q amp A avec la Cryptolib CPS v5 LPS dans sa version v1 supportant la i H OR v i i Mise jour des documents Cryptolib CPS v5
50. esenceCarte 6 retourne son tat ainsi que le cas ch ant son C_GetSlotList ATR C_GetSlotinfo C_FindObjectsinit C_FindObjects C_FindObjectsFinal 7 Remplac par l interpr tation du retour de l appel PKCS 11 07 CPS InformationsCarte 7 Retourner les informations caract risant une carte i J l He C_GetAttributeValue CPS_ID_ CARD R cup rer les informations de base concernant le Remplac par l interpr tation du retour de l appel PKCS 11 08 CPS InformationsPorteur 8 E i 5 porteur de la carte C_GetAttributeValue CPS_NAME_PS R cup rer la liste par groupe de 16 maximum des nes 09 CPS ListeApplications 9 zE i par Eroyp us Non remplac car non utilis e applications disponibles dans la carte CPS 80 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Fonction API CPS Ordinal Description Equivalent Cryptolib CPS v5 5 5 i 3 i 9 Remplac par l interpr tation du retour de l appel PKCS 11 10 CPS LecSituationPS 11 R cup rer les donn es d une situation d exercice C_GetAttributeValuel CPS_ACTIVITY_XX_ PS avec XX entre 01 et 16 Remplac par l interpr tation du retour de l appel PKCS 11 11 CPS_LecSitFacturation 12 Lire par groupe de 8 au plus les situations de C GetAttributeValuel CPS2TER_SIT_FACT en Cryptolib CPS v4 facturation du Professionnel de Sant Non remplac en Cryptol
51. essenensseneessenenssenensserensserees 78 15 3 1 Exemple exploitation de CPS ID CARD 78 16 Migration de l API CPS vers l API PKCS 11 de la Cryptolib CPS v5 79 16 1 Documents de r f rence inserer 79 16 2 A AEE a EE E E A RS AR RE tn enr A rar E 79 17 Annexe Fiche d valuation de migration ui 84 18 Annexe Table des figures iii 86 19 Annexe Liste des tableaux inrsin Een A EEEE tente trente tea Reste trente 87 20 s NOTE Sanae te et E a a a E E E ne E E le tien 89 6 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 4 Glossaire Sigle Signification AW DMP Access Web DMP API Application Programming Interface CAPI Cryptographic Application Programming Interface CCM CAPI Certificate Manager CPS ou CPx Carte de Professionnel de Sant ou Carte de la famille CPS CPS CPE CPA CSP Cryptographic Service Provider DLL Dynamic Link Library biblioth que liens dynamiques DMP Dossier M dical Personnel ES Etablissement de Sant FSE Feuille de Soins Electronique FSV Facturation SESAME Vitale GALSS Gestionnaire des Acc s aux Lecteurs Sant Social GIE Groupement d Int r t Economique IAS Identification Authentification Signature norme fran aise pour les cartes puces ODI Outil de Diagnostic et d Installation du poste PS http www outil diagnostic asipsante fr PC SC Pers
52. et de classe CKA CLASS CKO CERTIFICATE ainsi r cup r ne pourra pas par la suite d clencher des op rations cryptographiques sur la cl correspondant ce certificat I ne pourra donc pas en faire mauvais usage cryptographique ce dont on cherche g n ralement se pr munir Pour les op rations cryptographiques le Manuel de Programmation utilise un template de recherche PKCS 11 avant de d clencher l op ration sur la cl priv e Le code r cup re un objet de classe CKA CLASS CKO_PRIVATE_KEY Les r f rences importantes sont alors amp cka_id_keyAuth ou amp cka_id_keySign Les pr conisations g n riques du PKCS 11 pour discriminer une cl de signature d une cl d authentification sont d examiner l attribut CKA_ DECRYPT False sur la cl priv e de signature et CKA DECRYPT True sur la cl priv e d authentification ce qui ne manque pas de poser un probl me quand il y a plusieurs cl s d authentification ce qui n est pas le cas avec le PKCS 11 de la Cryptolib CPS Noter que PKCS 11 et CAPI ou TokenD ne fonctionnent pas sur ce m me mode l o il y a 3 objets en PKCS 11 cl publique cl priv e et certificat il n y en a qu un seul en CAPI le certificat et CAPI fait seul en interne le lien entre les 3 objets sous jacents Le PKCS 11 de la Cryptolib CPS v5 assure un lien entre ces 3 objets via l attribut CKA_ID cf Gestion des identifiants et des labels PKCS 11 conform ment aux recommandat
53. f Elles documentent des cas passants qui peuvent diff rer d un syst me l autre Les copies d cran pr sent es dans ce document sont donn es titre illustratif Les pages ou crans r ellement affich s peuvent tre diff rents notamment en raison de mont es de version ou de configurations d environnements diff rentes Citations L ASIP Sant est contrainte de citer le nom de certaines entreprises recens es au tableau n 5 afin d apporter toute l aide n cessaire aux utilisateurs de la Cryptolib CPS v5 dans son installation et son utilisation Les entreprises cit es peuvent prendre contact avec l ASIP Sant l adresse email editeurs asipsante fr pour toute demande en lien avec la citation les concernant Les entreprises non cit es dans ce manuel et ayant une activit en lien avec la Cryptolib CPS v5 peuvent galement se faire conna tre aupr s de l ASIP Sant en la contactant la m me adresse Contact Toute question en rapport avec le contenu du pr sent document doit tre adress e l adresse suivante editeurs asipsante fr Tableau 4 Avertissements 9 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 7 Principales fonctionnalit s de la Cryptolib CPS v5 MANUEL_INST_UTIL d crit exhaustivement l architecture l installation et l utilisation de la Cryptolib CPS v5 sur les trois syst mes Microsoft Linux et
54. fication i 2 v5 et acc dant la carte CPx via le PKCS 11 de la de D veloppements des objets PKCS 11 utilis s et de v5 AS Tests Q amp A avec la Cryptolib CPS v5 leurs quivalents en v5 Re D ploiement Tableau 15 Chemin de migration v4 v5 pour une application utilisant l API CPS 41 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 10Aper u g n ral des diff rences entre Cryptolib CPS v4 et v5 Le tableau ci dessous d crit les diff rences de gestion des fonctionnalit s entre les Cryptolib CPS v4 CPS2ter et Cryptolib CPS v5 CPS3 volet IAS et les impacts techniques de ces volutions Ce tableau concerne les applications qui migrent explicitement vers les composants Cryptolib CPS v5 contenus dans l installeur 5 0 apr s tre pass par la phase de compatibilit voir chapitre 7 plus haut Changement de Popibaes Noms des librairies Noms des librairies pr fix s composants v4 et A lt 1 PKCS 11 nomenclature des PR i P E 11 1 1 librairies pr fix s par cps ou libcps par cps3 ou libcps3 VS par l installeur A Cryptolib CPS v5 Nouvelle librairie Une unique DLL PKCS 11 Deux DLLs au lieu d une D a ER e 64bit 32bit est fournie 64b et 32b PUppOrEAU SAh A a ILL PKCS 11 permet de e discriminer efficacement Gestion des les diff rents objets Changement de Re I TE 3 PKCS 11 E3 identifiants et des cryptogr
55. g categorieCarteValue DEROctetString tgo getObject 16 sss Tableau 42 Contre exemple d exploitation des donn es CPS_ID_CARD 78 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 16Migration de l API CPS vers l API PKCS 11 de la Cryptolib CPS v5 16 1 Documents de r f rence Les documents de r f rence permettant de migrer de l API CPS vers l API PKCS 11 de la Cryptolib CPS v5 sont Code Titre Fichier Date MANUEL_PROG Cryptolib CPS v5 Manuel de Programmation ASIP PUSC PSCE_MP_Cryptolib CPS v5 Manuel de programmation_20131016 _v1 5 0 pdf ZU OZO API_CPS APIs Des Services Carte du Professionnel de Sant win32504_0 zip CW320504 doc cpmpracp doc DONNEES_METIER Les donn es m tier de la CPS3 Volets CPS2ter et IAS ASIP_CPS3_Donn es m tier_v1 0 2 pdf PKCS11_EXT CryptoLib CPS3 Sp cifications externes du module PKCS 11 Sp cificationsExternes_PKCS11_CryptoLib_CPS3_v1 0 1 pdf 16 2 Migration Fonction API CPS Ordinal Description Equivalent Cryptolib CPS v5 Signaler un num ro de connexion logique au La Cryptolib CPS v5 abstrait les types de lecteurs PSS ou PC SC En Gestionnaire d Acc s GALSS en utilisant un nom cons quence la notion de session GALSS disparait logique qui attribue au doublet Application LAD 01 CPS _OuvertureSession 1 coupleur fente
56. hier unique ALLUSERSPROFILE santesocial CPS coffre cps_pkcs11_safe ini ou cps_pkcs11_pcsc ini en fonction de la fili re utilis e La Cryptolib CPS v5 se configure en fonction des OS via e la base de registre e des variables d environnement e des fichiers de configuration Revoir la fa on de configurer la Cryptolib CPS Sous Windows les reg d activation et de d sactivation des traces de la Cryptolib CPS v5 sont fournis Par d faut les traces sont d sactiv es configuration attendue en production Cf MANUEL_INST_UTIL Toutes applications Tableau 35 Impact Configuration des traces 71 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 13 5 Nouvelle version de CPS Gestion LEE G Une nouvelle version de CPS Gestion est fournie avec la Cryptolib CPS v5 La version de CPS Gestion fournie avec la Cryptolib CPS v4 s appuie sur l API CPS La nouvelle version fournie avec la Cryptolib CPS v5 s appuie sur la librairie PKCS 11 Cryptolib CPS v5 deux versions du programme CPS Gestion sont fournies avec cette Cryptolib Exemple sous Windows e CPS Gestion v6 xx version s appuyant sur l API PKCS 11 disponible par d faut accessible depuis le menu D marrer gt Programmes gt Sant Social gt CPS gt Gestionnaire de la carte CPS e CPS Gestion v5 xx m me version que celle fournie avec la Cryptolib CPS v4 s ap
57. ib CPS v5 passer par les API FSV du GIE SV 12 CPS PresCodePorteur 14 Pr senter un code porteur la carte Remplac par l appel PKCS 11 C_ Login 13 CPS ModifCodePorteur 15 Modifier le code porteur associ une carte Remplac par l appel PKCS 11 C SetPin Remplac par les appels PKCS 11 A C_Login avec le code porteur SO pr sente le code PUK la carte Recycler du code porteur par pr sentation du super re 14 CPS_RecycleCodePorteur 16 ae C_InitPIN en passant le nouveau code porteur initialise le code porteur de l utilisateur C_Logout met fin la session logu e SO 15 CPS LectureTopoCarte 17 APlinterne Non remplac G n rer une valeur al atoire utilisable comme valeur 16 CPS GenereDefiAuthen 18 de d fi dans la proc dure d authentification de la CPS Remplac par l appel PKCS 11 C_GenerateRandom Cette API n effectue pas d acc s la carte Remplac par les appels PKCS 11 C_Digestinit 17 CPS_condenseMessage 20 Calculer un condensat sur un message en vue d une C_Digest signature C_DigestUpdate C_DigestFinal Rappel la CPS3 n accepte pas de signer un condensat 81 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Fonction API CPS Ordinal Description Equivalent Cryptolib CPS v5 Remplac par les appels PKCS 11 C_Digestinit ichi C Digest 18 CPS_CondenseFichier 28 Calculer un condens t
58. ifier l objet avec lequel on veut effectuer une op ration Certaines applications utilisent des identifiants des cl s cod s en dur sp cifiques la version Cryptolib CPS va La mani re de calculer les identifiants diff rant selon les versions de Cryptolib CPS ces applications ne pourront pas signer des documents si la Cryptolib CPS v5 est install e Recherche exhaustive Pour chaque cl trois identifiants sont possibles il suffit de tester ces trois valeurs Cf MANUEL_PROGMANUEL_PROG Applications acc dant la carte via PKCS 11 Ex applications utilisant Java IAIK Tableau 21 Impact Changement Identifiants de cl s 53 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 3 Identification de la carte ins r e RE OA Changement de comportement de la fonction C_GetTokeninfo Les applications v rifient p riodiquement que la carte utilis e lors de l authentification SSL est toujours pr sente dans le lecteur Pour cela elles comparent le Serial Number issu de la structure TOKEN_ INFO avec une variable tlsCardSerial obtenue partir de l extension priv e gipCardiD du certificat d authentification Lorsqu on utilise une carte CPS3 avec la Cryptolib CPS v5 la variable SerialNumber remont e par la fonction C_GetTokeninfo ne correspond plus l identifiant logique de la carte mais au num ro de s rie de la carte D terminer l identifiant logi
59. ions OASIS pour PKCS 11 De fait entre CAPI ou TokenD et Pkcs11 les niveaux s mantiques sont diff rents 1 CAPI ou TokenD a signature et authentification doivent tre consid r es au niveau fonctionnel avec tous les aspects juridique que cela sous tend 2 PKCS 11 a le niveau est plus technique il n y a pas vraiment d authentification ou de signature il n y a que de la signature b Au niveau PKCS 11 il est possible de demander une op ration de signature C_Sign et CKA_ SIGN true sur les 2 cl s d authentification et de signature La recherche d objets dans les magasins cryptographiques est un r el souci Ce souci est commun toutes les technologies Keystore Java Token PKCS 11 Magasins de certificats Microsoft Windows Il rappelle les probl matiques g n riques de recherche dans des bases de donn es d ailleurs le pattern DAO avec un finder puis un findByPrimaryKey s applique tr s bien Il s agit de bien isoler cette recherche de bien y respecter les bonnes pratiques de d veloppement param tres en configuration et de bien en ma triser les effets dossier de conception 27 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 6 Exemple 6 cas de multiplication des fili res d acc s carte 8 3 6 1 Architecture LPS consid r e Lecture de donn es m Saisie code Composants v5 Composant v4 Syst me Lecteurs
60. it une op ration d authentification Code Commentaire E Il s agit plut t d un code cross plateforme l int gration au niveau PKCS 11 est justifi e 1 CK_RV rc CKR_OK 2 CK_OBJECT CLASS objClass CKO CERTIFICATE classe rechercher 3 CK_OBJECT_HANDLE hCert 4 CK_BBOOL bFalse CK_ FALSE rechercher public CKA PRIVATE gt CK_ FALSE 5 CK_BBOOL bTrue CK_ TRUE rechercher est token CKA TOKEN gt CK_ TRUE 6 CK_ULONG ulMaxObjectCount 1 Nombre maximum d objets r cup rer 7 char label Certificat de Signature CPS Label de l objet 8 9 CK_ATTRIBUTE searchTemplatel Template de recherche 10 CKA_ CLASS amp objClass sizeof objClass 11 CKA_TOKEN amp bTrue sizeof bTrue Un vecteur de recherche d objets est initialis sur le label 12 CKA_ PRIVATE amp bFalse sizeof bFalse Certificat de Signature CPS 13 CKA_LABEL label strlen label 14 15 16 CK_ATTRIBUTE templateAttr Template de r cup ration de donn e 17 CKA_ VALUE NULL_PTR 18 19 20 CK_ULONG searchTemplateSize sizeof searchTemplate sizeof CK_ATTRIBUTE 21 CK_ULONG templateAttrSize sizeof templateAttr sizeof CK_ATTRIBUTE 22 23 rc pFunctionList gt C_FindObjectsInit hSession searchTemplate searchTemplateSize Une recherche PKCS 11 est initialis e avec le vecteur 24 Il est aussi possible d initialiser un template de recherche sur 25 hCert
61. la migration CPS2Ter vers CPS3 09 04 2015 11 4 1 1 2 Cas Microsoft Internet Explorer Pour Internet Explorer les comportements changent en fonction Des options de s cu activ es Protected mode Enhanced Protected mode Enhanced Protected mode en 64b et de la plateforme x86 x64 win7 win8 win8 1 Du nombre de tabs o La courbe tab process impl ment e par IE n est pas lin aire y adonc des diff rences entre une situation avec peu de tab et avec beaucoup de tab sous IE e avec la Cryptolib v5 e du point de vue des ren gociations SSL La gestion des processus impl ment e par Internet Explorer est compl tement diff rente Les explications sont l doc de r f rence http blogs msdn com b ieinternals archive 2012 03 23 understanding ie10 enhanced protected mode network security addons cookies metro desktop aspx 1 processus p re le manager process qui s ex cute toujours dans l archi du syst me R m E Gesnonnaee des tiche de vou e_n Fichier Options Affichage _ Aepheatens Procesus Servces Performance Mae en r seau uttssteurs Nom delme Non duthsateur Processeur M more Nomduchemnd Ligne de comm COM exe f esgrppes a2 22712K C iProgon Pes C Progem M carss exe w 1663K Desktopsesrd ervo exe 3 K esopes ISNAK CiProgrom Files C Progen Fi dem exe f esgrones 00 BNK CiMndonsi ys C iMndonsis explorer exe f esgroces 0 27
62. mpact D pr ciation de l API CPS au profit de l interface PKCSH11 o nonnnnnnoonnnnsene0ssee 66 Tableau 30 Impact Propagation des certificats 67 Tableau 31 Impact Nouvelles DLL 64bit pour syst mes 64bit ssssnnnssssssssennessssssrrennrssssssereesrsssseene 68 Tableau 32 Impact Nouvelles DLL 64bit pour syst mes 64bit nnssnnnnssnensseeenssennnssrensserensserenssee 68 Tableau 33 Impact Installations GALSS et PC SC factoris es ssseseseseseseessesnrersrersrerssenssensseeses 69 87 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Tableau 34 Tableau 35 Tableau 36 Tableau 37 Tableau 38 Tableau 39 Tableau 40 Tableau 41 Tableau 42 Tableau 43 Tableau 44 Impact Installations param trables 70 Impact Configuration des traces ss 71 Impact Nouvelle version de CPS Gestion sessessssssssesssssssssrreerrssssesereesnssssesereesessssenee 72 Impact Changement des menus D marrer sous Windows sssssssseseesseseesserensseeensseee 73 Impact Changement de nom de package RPM Linux 73 Impact Changement de nom du Tokend sous Mac OS XL 74 Impact Gestion du cache des fichiers carte ss 75 Impact Changements de donn es m tiers 76 Contre exemple d exploitation des donn es CPS_ ID CARD 3 78 Migration API CPS vers API PKCSHIL ss 83 Fiche d valuation de migration 85 88 90
63. n de bogue ou volution en parall le Tableau 13 Hypoth ses chiffrage phase 2 Co ts associ s la phase 2 Description Chiffrage unitaire Consolid Nombre de fonctions API CPS utilis es sur les 28 fonctions 15 expos es par l API CPS Mont e en comp tence sur le PKCS 11 5 jours 5 jours enan de portage vers le PKCS 11 pour les 3 premi res fonctions 4 jours de portage fonction 12 jours de l API CPS Effort de portage vers le PKCS 11 pour les fonctions gt j Re cubpl m niaitesde TAPICES 0 5 jour par fonctions suppl mentaires 15 3 0 5 6 jours Total env 25 jours de d veloppements Tableau 14 Co ts migration v4 v5 pour une application utilisant l API CPS phase 2 38 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Les co ts associ s la phase 3 sont quant eux directement li s la conception du LPS qui fait l objet de la migration _ Compl tude des expressions de besoins sp cifications et dossiers de conception o Acc s carte CPx mais plus globalement comportement du LPS dans sa globalit Passage par la phase 2 o ounon R utilisation des structures de l API CPS dans le code m tier o ounon Volont de rework de la partie acc s carte CPx une fois le mock d API CPS r alis o ounon 39 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers
64. n de sans es teste ie 9 7 Principales fonctionnalit s de la Cryptolib CPS V5 10 7 1 Compatibilit ascendante compl te avec la Cryptolib CPS v4 10 7 2 Cryptolib CPS v5 un meilleur suivi des standards 12 8 Pr conisations d architectures logicielles pour les LPS nnnnnnnnsenensseneessenenssensnssenessserenssereesserees 13 8 1 Gestion du cod porteur mines ailnen ii eriek cree ioraa EL ere atins ete eue 13 8 1 1 Architecture logicielle probl matique n nnnnnnnnssennnssensesseneessenenssenensseeessseeessserensseenesse 13 8 1 2 Algorithme de pr sentation du code porteur au niveau PKCSH11 nnsnnnnssne0sse000sse 14 8 1 3 Factorisation des demandes de codes porteur ss 15 8 2 Niveau et homog n it de l int gration avec la carte 15 8 3 Analyse de diff rents logiciels dans leur partie acc s carte ssssessseseessssensseeeessereesseee 17 8 3 1 Exemple 1 tude du cas application multi processus 17 8 3 2 Exemple 2 tude d un exemple en Java 21 8 3 3 Exemple 3 tude d un exemple en CH 1 23 8 3 4 Exemple 4 tude d un exemple en CH 2 25 8 3 5 Exemple 5 tude d un exemple en C 26 8 3 6 Exemple 6 cas de multiplication des fili res d acc s carte 28 8 4 Illustration de la pr conisation d architecture LPS 34 9 Strat gie de migration de la Cryptolib CPS v4 vers la Cryptolib CPS V5 35 9 1 Rappels sentiment dre ie ne ane en fe E
65. ng alias alias et donc dans ce cas au changement Volet CPS2Ter Volet IAS 24 signaturePrivateKey PrivateKey keystore getKey alias cardPassword ce qui n est pas conforme aux bonnes pratiques cryptographiques 25 signatureCertificate X509Certificate keystore getCertificate alias gt utiliser plut t l usage du certificat 26 signatureCertificationChain keystore getCertificateChain alias getKeyUsage OFFSET NON_REPUDIATION 27 else if initAuthentificationCertificate plus contraignant mais plus g n rique 21 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 28 29 30 31 32 33 34 35 36 37 38 39 Code amp amp keystore isKeyEntry alias amp amp alias contains authentification authentificationCertificateChain X5 9Certificate keystore getCertificateChain alias Get the private key log debug Get private key using alias alias authentificationPrivateKey PrivateKey keystore getKey alias cardPassword Commentaire Tableau 7 Exemple 1 Java 8 3 2 2 Conclusion ce code n est pas impact TO par la migration Cryptolib CPS v4 vers Cryptolib CPS v5 o carle package Cryptolib CPS v5 d ploie les composants Cryptolib CPS v4 ce code est impact au moment de passer l exploitation du volet IAS de la CPS3 car o de fait il ne fonctionne plus du tout
66. ngBuilder 2 cardConfig append name CPS n Nous sommes en Java donc potentiellement cross plateforme 3 cardConfig append library module l utilisation de PKCS 11 est une bonne id e d autant plus que c est un 4 InputStream is new ByteArrayInputStream cardConfig toString getBytes standard bien suivi et bien support par le monde Java 5 log info Loading Sun PKCS11 security provider 6 Provider securityProvider new sun security pkcs11 SunPKCS11 is 7 Sec rity addProvider securityprovider Java permet ici d adapter directement les objets PKCS 11 dans sa propre architecture JCE JCA ce qui est une bonne chose 8 9 Loading client KeyStore from card 19 log debug Loading CPS KeyStore 11 keystore KeyStore getInstance PKCS11 12 keystore load null cardPassword null null cardPassword 13 log debug Looking for alias 14 Looking for the private key into the keystore looking for an 15 alias containing signature 16 if keystore null 17 Enumeration lt String gt e keystore aliases 18 while e hasMoreElements 19 String alias e nextElement 29 log debug Alias alias 21 if keystore isKeyEntry alias amp amp alias contains signature L usage du certificat est ici r cup r partir de l alias PKCS 11 22 Get a private key handle ce qui rend ce code plus sensible au changement d alias 23 log debug Get private key usi
67. nt de comportement de C_WaitForSlotEvent l impl mentation de la fonction C_WaitForSlotEvent dans les librairies PKCS 11 de la Cryptolib CPS V5 a d tre modifi e du fait de probl mes de performances rencontr s avec le navigateur Firefox Revoir l impl mentation de la solution En v5 C_WaitForSlotEvent retourne CKR_FUNCTION_NOT_SUPPORTED en mode bloquant Cf ARRACH_CPS Applications acc dant la carte via PKCS 11 Tableau 28 Impact Changement dans les m canismes de signature 65 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 7 L API CPS est d pr ci e au profit de l interface PKCSH 11 LEE 060 L API CPS est d pr ci e au profit de l interface PKCS 11 Revoir l impl mentation de la solution Cf strat gie de migration v4 vers v5 plus haut rationaliser les fili res d acc s cartes se r f rer au tableau de correspondance API CPS PKCS 11 plus bas Cf 9 3 Exemple 1 Chemin de migration v4 v5 pour une application utilisant l API CPS Cf 16 Migration de l API CPS vers l API PKCS 11 de la Cryptolib CPS v5 Applications acc dant la carte via l API CPS Tableau 29 Impact D pr ciation de l API CPS au profit de l interface PKCS 11 66 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 12Description des modifications CSP 12 1 Propagation des certificats Pro
68. numSession 18 StringBuilder pCodePorteur ref CPS StatutService pstatutService ref IntPtr pEtatCarte 19 20 public string EnvoyerDocumentsVersDmp ProfessionnelSanteDMP professionnel 21 List lt DocumentDMP gt documents string applicationInstanceID 22 X509Certificate2 x509Certificate2 smartCard DonneCPSCertificates SignatureCertificate 23 Parall lement le logiciel utilise les API DMP qui ont besoin 24 List lt X509Certificate2 gt certis de la carte CPx via le CSP 25 if certis Count 2 26 cpsCertificates new CpsCertificates 27 cpsCertificates SignatureCertificate certis ElementAt 28 cpsCertificates AuthenticationCertificate certis ElementAt 1 29 else 29 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Tableau 11 Exemple 6 Multiplication des fili res d acc s carte Cette situation s accompagne g n ralement de l affichage de plusieurs fen tres de saisie du code porteur l utilisateur probl me de coh rence et d ergonomie Pour la connexion sur l application par exemple on verrait appara tre Saisissez votre code porteur l Vous avez 3 essais Figure 8 Fen tre de saisie du code porteur CPx par le logiciel lui m me Tandis que pour la communication avec le DMP l acc s via le CSP la carte la boite de dialogue suivante appara t ll vous reste 3 tentative s pour la ca
69. olet CPS2Ter vers le volet IAS de la CPS3 48 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 1 Chargement des DLL PKCS 11 11 1 1 Changement de nomenclature des librairies LUE G Les noms des librairies PKCS 11 de la Cryptolib CPS v5 ont chang Les applications acc dant la carte via PKCS 11 doivent charger la librairie PKCS 11 CPS3 ad quate Changement de l algorithme de chargement de la librairie PKCS 11 Pour tre compatible avec la Cryptolib CPS v5 l algorithme de chargement de la librairie PKCS 11 doit tre modifi de fa on pouvoir g rer l ensemble des versions des Cryptolib CPS susceptibles d tre pr sentes sur le poste Cf DETECT_CRY Applications acc dant la carte via PKCS 11 Ex applications utilisant Java IAIK Tableau 17 Impact Chargement des DLL PKCS 11 49 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 1 2 Nouvelle librairie 64bit ARR La Cryptolib CPS v5 est disponible en 32b et 64 b sous Windows La Cryptolib CPS v4 tait disponible en 32b uniquement Changement de l algorithme de chargement de la DLL PKCS 11 Pour tre compatible avec la Cryptolib CPS v5 l algorithme de chargement de la DLL PKCS 11 doit tre modifi de fa on pouvoir g rer l ensemble des versions des Cryptolib CPS susceptibles d tre pr sentes sur le poste
70. onal Computer Smart Card PKCS Public key Cryptography Standards PKI Public Key Infrastructure PS Professionnel de Sant PSS Protocol Sant Social RGS R f rentiel G n ral de S curit Tableau 2 Glossaire 7 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 5 Liste des entreprises cit es Le pr sent document cite les produits des entreprises ou organismes suivants Nom Site Web Lien avec la Cryptolib CPS Apple www apple com Mac OS X Debian www debian org Linux deb Fedora fedoraproject org Linux rpm Google www google com Google Chrome GIE SESAM Vitale www sesam vitale fr PSS GALSS API de lecture Vitale GIXEL www gixel fr Standard IAS ECC Microsoft www microsoft com Windows CSP Internet Explorer C NET TSE Mozilla www mozilla org Mozilla Firefox OASIS www oasis open org Responsable des volutions du Standard PKCS 11 depuis sa version 2 3 PC SC Lite ludovic rousseau free fr PC SC sous Linux PR wwwipcsowortgroupcom feront gu standard Cam anen del re pue et Redhat www redhat com Linux rpm RSA Security Inc WWWw rsa com PKCS RSA Tableau 3 Entreprises cit es 8 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 6 Avertissements Sur le n cessaire strict respect des proc dures d crites dans le docum
71. pagation des certificats Sous Windows 7 la propagation des certificats CPS vers le magasin Windows est activ e par d faut En cons quence e le CCM n est pas indispensable pour l alimentation du magasin e le CCM reste indispensable si l limination des certificats est requise en cas de retrait de la carte e 2 processus svhost exe et CCM exe alimentent le m me magasin depuis la m me carte en parall le Rappel le CCM n est pas utilis par Mozilla Firefox alimentation du magasin de certificats Firefox via le p riph rique de s curit et le PKCS 11 associ V rifier ad quation de la solution avec cette impl mentation Toutes les applications Tableau 30 Impact Propagation des certificats 67 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 13Changement d installeurs 13 1 Syst me 64bit avec Cryptolib CPS 64bit AAA o Nouvelles DLL 64bit pour syst mes Windows 64bit L installeur 64bit installe les DLL 64bit et 32bit Les outils CCM et CPS Gestion sont port s en 64bit Revoir l installation et le d ploiement de la solution V rifier impl mentation de la solution Cf MANUEL_INST_UTIL Il est vivement conseill d utiliser l installeur 64bit sur un syst me 64bit L installeur 64bit installant les DLL de la Cryptolib CPS v5 en versions 64bit et 32bit les deux CSP 32bit et 64bit sont pr sents et d clar s dans le syst me
72. porteur d blocage du code prot g es par code PIN 2 porteur porteur accessibles 77 gt La demande de code porteur est r alis e par l application l PIN code porteur d essais restants est saisi et valid l vivement conseill x essais restants 3 l L indication du nombre Figure 2 Algorithme de pr sentation du code porteur au niveau PKCS 11 L utilisation de cet algorithme toutes versions de Cryptolib CPS confondues et tous niveaux d int gration confondus PKCS 11 et syst me i e CSP et TokenD tend minimiser les demandes de code porteur effectu es aupr s de l utilisateur 14 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 1 3 Factorisation des demandes de codes porteur A partir de la Cryptolib CPS v5 les demandes de code porteur se font processus par processus Au sein d un m me processus modulo la mise en uvre d une v ritable strat gie de demande du code porteur bas e sur les informations de ce document Rationalisation des fili res d acc s carte cf plus haut D tection du statut de pr sentation du code porteur cf plus haut il est possible de r duire au minimum les demandes de code porteur Il est difficilement compr hensible qu un m me logiciel demande par lui m me et pour son propre fonctionnement plusieurs fois le code porteur CPS
73. pplications utilisant la Cryptolib CPS v4 La Cryptolib CPS v5 0 3 utilise un format de cache incompatible avec celui des versions Cryptolib CPS v5 0 6 et sup rieures Les Cryptolib CPS v5 0 6 et sup rieures recr ent seules les caches corrompues ou qu elles ne comprennent pas La Cryptolib CPS v5 0 3 ne le fait pas et ne fonctionne pas avec des fichiers de cache cr s par les Cryptolib CPS v5 0 6 et sup rieures il faut donc effacer ces fichiers manuellement pour refaire fonctionner une Cryptolib CPS v5 0 3 Cf MANUEL_INST_UTIL Toutes applications Tableau 40 Impact Gestion du cache des fichiers carte 75 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 15Donn es m tiers 15 1 Changement des donn es m tiers os Les objets m tiers ont chang entre le volet CPS2ter et le volet IAS Revoir l installation et le d ploiement de la solution Exemple de diff rences e Tags E3 E8 en CPS2ter Tags E3 E4 E5 ED et EE en IAS e Dans la structure Activit Situation d exercice tags E8 ou EE disparition du tag 88 de CPS2ter et apparition du tag 86 en IAS Cf DONNEES METIER Toutes applications Tableau 41 Impact Changements de donn es m tiers 76 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 15 2 Conseils sur les m thodes d acc s aux donn es du dico La Cryptoli
74. probl matique La nouvelle gestion du code porteur peut avoir des effets de bord sur les applications mettant en uvre une architecture h t rog ne pour ses acc s carte Un exemple d application impact e 1 L application utilise l interface CAPI pour certaines op rations a OPE TYPE _1 b avec la Cryptolib CPS v5 c est le CSP v5 qui va tre sollicit 2 L application utilise pour d autres op rations soit le PKCS 11 de la Cryptolib CPS v4 soit API CPS a OPE_ TYPE 2 Dans ce cas le CSP v5 ne permettant pas le partage de l tat de pr sentation du code porteur le passage de la Cryptolib CPS v4 vers la Cryptolib CPS v5 n est pas transparent 1 L utilisateur lance une OPE_TYPE_1 le code porteur va lui tre demand 2 L utilisateur lance une OPE_ TYPE _2 le code porteur va de nouveau lui tre demand a ce qui n tait pas le cas avec la Cryptolib CPS v4 puisque le CSP v4 permettait le partage de l tat de pr sentation du code porteur Cependant une application ayant ces caract ristiques pr sente un d faut d architecture 13 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 1 2 Algorithme de pr sentation du code porteur au niveau PKCS 11 L ASIP Sant documente et partage pour information et avis un algorithme de gestion de la pr sentation du code porteur au niveau PKCS 11 L application souhaitant utiliser la carte CPx via la lib
75. puyant sur l API CPS utiliser pour v rifier l installation accessible de la fa on suivante d pendant de l architecture de l OS e ProgramFiles santesocial CPS cpgesw32_CPS2ter exe e ProgramFiles x86 santesocial CPS cpgesw32_CPS2ter exe Cf MANUEL_INST_UTIL CPS Gestion Tableau 36 Impact Nouvelle version de CPS Gestion 72 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 13 6 Changement des menus D marrer sous Windows AAA e Les menus cr s par l installeur MSI sous Windows ont chang Le menu Cryptolib CPS v4 D marrer gt Programmes gt Cryptolib CPS Est remplac par Cryptolib CPS v5 D marrer gt Programmes gt Sant Social gt CPS CCM Gestionnaire de certificats CPS et CPS Gestion Gestionnaire de la carte CPS Tableau 37 Impact Changement des menus D marrer sous Windows 13 7 Changement de nom du package RPM Linux RAR Le nom du package RPM sous Linux a chang Le nom de package cryptolib Cryptolib CPS v4 rpm qa grep i cryptolib Est remplac par Cryptolib Cryptolib CPS v5 rpm qa grep i Cryptolib Toutes applications Tableau 38 Impact Changement de nom de package RPM Linux 73 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 13 8 Changement de nom du Tokend sou
76. que de la carte partir du label Il faut obtenir l identifiant logique de la carte partir du label et non plus en utilisant le param tre Serial Number Cf MANUEL_PROGMANUEL_PROG Applications utilisant la fonction C_GetTokeninfo du PKCS 11 pour g rer la pr sence de la carte Tableau 22 Impact Changement comportement de la fonction C_GetTokeninfo Cryptolib CPS Carte Serial Number TOKEN_INFO Label TOKEN_ INFO m CPS2ter Identifiant logique de la carte CPS IdCarteLog CPS3 Identifiant logique de la carte CPS IdCarteLog i CPS2ter Identifiant logique de la carte CPS2ter ldCarteLog CPS3 Num ro de s rie de la carte CPS3v1 IdCarteLog Tableau 23 Gestion de la session Les informations concernant la carte CPS2ter sont fournies titre indicatif depuis mars 2014 toutes les cartes en exploitation sont des CPS3 54 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 4 Gestion du code porteur 11 4 1 Saisie du code porteur pour chaque application os Changement de la gestion du code porteur Le code porteur est demand chaque rechargement de la librairie PKCS 11 Lorsqu une application lance plusieurs processus fork plusieurs saisies de code porteur peuvent tre demand es Revoir l architecture de la solution Revue d architecture logicielle pour remplacer les sous processus par autre chose Cf MAN
77. rairie PKCS 11 de la Cryptolib CPS ne conna t pas a priori le statut I l l l pr sent non pr sent bloqu du code porteur E RE EE C_GetSessionInfo T PKCS 11 Tictasisrs Erdara kn aaa Toi En Cryptolib CPS v4 sous Windows une boite de TX l dialogue de saisie de code porteur est affich e par la DLL PKCS11 CKS_XX_PUBLIC_SESSION Roi CKS_XX_USER_FUNCTIONS etour l En Cryptolib CPS v5 aucune boite de dialogue de saisie de code porteur n est propos e cette l y responsabilit est d l gu e l application PIN NULL less eme ep msl ares nets Dans un premier l Fe temps le code a SL y N porteur est i FR _Login initialis gt fonction PKCS 11 el mie Y CKR_OK CKR_USER_ALREADY_LOGGED_IN Retour Les fonctions CKR_PIN_INCORRECT C_GetSessionInfo CKR_PIN_LOCKED C_GetTokenInfo C_Login insi que les codes C_GetTokenInfo l ia 1 la 1S PIN COUNT Low fonction PKCS 11 le le IS l PIN_FINAL_TRY PIN_LOCKED ont d finis dans le standard PKCS 11 NON auquel se conforme la Cryptolib CPS Flag PIN_LOCKED OUI Y Y Y Code porteur Code porteur 3 essais restants 2 essais restants 1 essai restant bloqu pr sent Demander le Proc dure de Fonctionnalit s gt code
78. rte CPS3v1 2300808476 Code Porteur v5 0 13 64b v02 10 00 64b Figure 9 Fen tre de saisie du code porteur CPx via le CSP Cryptolib CPS v5 ASIP sant 30 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 6 3 Conclusion ce code n est pas impact TO par la migration Cryptolib CPS v4 vers Cryptolib CPS v5 car le package Cryptolib CPS v5 d ploie les composants Cryptolib CPS v4 ce code est impact au moment de passer l exploitation du volet IAS de la CPS3 o 2 demandes de code porteur apparaissent au lieu d une seule Du fait de l utilisation des 2 fili res API CPS et CSP e Qui sont ind pendantes l une de l autre Quelque soit l ordre d appel e Composant CSP ou PKCS 11 de la Cryptolib CPS v5 puis API CPS e API CPS puis composant v5 o Ce code est particuli rement impact avec les lecteurs PC SC Avec les lecteurs PSS si un composant v5 est utilis avant l API CPS l API CPS est avis e par le GALSS que le code porteur a t pr sent o La premi re soumission de code porteur peut se faire par PKCS 11 ou par CSP directement o Ces changements peuvent se faire selon une trajectoire de migration vers le volet IAS Changements qui peuvent d autant mieux s appr hender que la Cryptolib CPS v5 est disponible pour int gration depuis 2 ans sur le site de l ASIP Sant En pr voyant une phase de d veloppement visant rationalis
79. s 01 16644K C VrogramFies C tmnt dwm exe f esgrippes 00 29824K C Windows Sys C explorer exe fdesgrippes 00 30608K C Windows exp C galsvw32 exe 32 fdesgrippes 00 916K C Windowsigals C hkomd exe fdesgrippes 00 892K C Windows Sys C lexplore exe fdesgnppes 00 7616K C Program Fies Cs iexplore exe fdesgrippes 00 6444K C Program Fies C iexplore exe fdesgrippes 00 9348K C ProgramFies C iexplore exe fdesgrippes 00 7720K C ProgremFiles C iexplore exe fdesgrippes 00 7868K C Program Fies C iexplore exe fdesgrippes 00 41956K C Program Fies C iexplore exe fdesgrippes 00 30696K C Program Fies C iexplore exe fdesgrippes 00 7624K C Program fFies C iexplore exe fdesgrippes 00 6464K C ProgramFies C Figure 19 Microsoft Internet Explorer 12 tab et l analyse de processus processus manager 59 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Sous Windows IE la relation IE tab processes est param tr e par la cl HKCU Software Microsoft internet Explorer Main TabProcGrowth Cf Opening a New Tab may launch a New Process with Internet Explorer 8 0 http blogs msdn com b askie archive 2009 03 09 opening a new tab may launch a new process With internet explorer 8 0 aspx 60 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers
80. s Mac OS X E Le nom du Tokend sous Mac OS X a chang Cryptolib CPS v4 GIP CPS tokend Cryptolib CPS v5 CPS3 tokend Applications acc dant la carte via le Tokend Tableau 39 Impact Changement de nom du Tokend sous Mac OS X 74 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 14Gestion du cache des fichiers carte o6s Le fichier de cache des certificats de la carte Cryptolib CPS v4 santesocial CPS coffre ccert bin Est remplac par un r pertoire de cache des fichiers de la carte Cryptolib CPS v5 santesocial CPS cache Revoir l installation et le d ploiement de la solution Exemple sous Windows Les m canismes de r plication du cache de certificats par copie de ccert bin sont impact s Profils itin rants II est n cessaire de recopier plusieurs fichiers pour l impl menter l identique avec la Cryptolib CPS v5 Il est n cessaire d accorder des droits d acc s en R W sur le r pertoire ALLUSERSPROFILE santesocial CPS cache au lieu du fichier ALLUSERSPROFILE santesocial CPS coffre ccert bin Il est n cessaire d accorder des droits d acc s en R W sur le r pertoire USERPROFILE AppData Local Microsoft Windows Temporary Internet Files Virtualized C ProgramData santesocial cps cache pour Internet Explorer en mode prot g Le m canisme de cache via ccert bin est maintenu en parall le pour les a
81. s de ren gocier tous les navigateurs ont impl ment des optimisations e La plus connue tant le false start de Chrome e Dans ces cas les cache de cl de session sym trique sont intensivement utilis s cot client et cot serveur Du coup on parle de Full renegociation pour d signer la reprise compl te d une n gociation sans utilisation de cache ou d optimisation o Ces m canismes sont autant de sources possibles de comportements diff rents vis vis de la saisie du code porteur 56 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 11 4 1 1 1 Cas Mozilla Firefox sous Windows Mozilla Firefox sous Windows utilise un processus global pour g rer tous les tabs 1 tab 38 Gessommene des tiche de Wadai DS E E e J E esartegourtr le porta de x Fichier Options Affichage 2 2 ez eunegant Apolcatons Processus Servers Performance Mae en r seau uitsateurs spacopresse Giossaire Nom de fimage Non dutisater Processeur M more Nom duchemn d Ligne de commen COMexe Kesgroces w 2279K CProgan Pies C Progem Piles crs ewe w 1650K OesitopSesrchService exe 32 fKesgreces w ISAK C Progam fies CProgers Fies dre ere Lesgroces w DEAK CWindoneSys T When ee enire ere f esgoces WWMK CWndmsien Cnds bo firefox exe 32 f esyopes OZ I53472K C Progem F es Ci Program Fes giorn 3Lexe 32 f esgroces o 93
82. s informations concernant le Remplac par l interpr tation du retour de l appel PKCS 11 28 CPS_Inf tionsPS2 42 A A OPMANEES professionnel de sant porteur de la carte C_GetAttributeValue CPS_INFO_PS R cup rer une image de la configuration du poste savoir les versions des diff rents composants du kit Non remplac au sein de la Cryptolib CPS v5 CPS les types et versions du syst me d exploitation 29 CPS InformationPoste 138 de la machine et le contenu du fichier GALSS INI Cette API peut retourner des codes d erreur d acc s au fichier GALSS INI A remplacer par les appels syst mes quivalents WMIC rpm Tableau 43 Migration API CPS vers API PKCS 11 83 90 ASIP Sant 17Annexe Fiche d valuation de migration Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 20 10 2014 10 11 12 13 14 15 16 17 18 19 84 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 m S Tableau 44 Fiche d valuation de migration 85 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 18Annexe Table des figures Figure 1 description de l installeur Cryptolib CPS V5 10 Figure 2 Algorithme de pr sentation du
83. t sous Windows Cryptolib CPS CPS Hate Coh rence des N 18 G n ral A nom du package cryptolib Cryptolib g S SA 13 7 RPM Linux noms 46 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 1 pr N 19 Tokend CHAUBSMIEnEUR GIP CPS tokend CPS3 tokend COR EN DES T 7 Se 13 7 nom du Tokend noms a 20 G n ral amp Gestion du cache Le fichier ccert bin sert de La Cryptolib CPS v5 utilise Am lioration des T qr lt gt 14 des fichiers carte cache de certificats un cache de fichiers performances E Am lioration de m l int gration de la A 21 G n ral E3 Changement des Le volet CPS2ter est La Cryptolib CPS v5 utilise carte CPS3 dans les g a i D 151 donn es m tiers utilis le volet IAS 4 PE processus Sant A Social Tableau 16 R sum des impacts migration Cryptolib CPS v5 47 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 20 10 2014 11Description des modifications PKCS 11 Cette section s adresse aux applications utilisant la carte CPx depuis la couche PKCS 11 Elle concerne par exemple les applications qui font appel une applet Java qui utilise PKCS 11 pour parler la carte CPx Elle concerne plus g n ralement tout diteur ayant choisi PKCS 11 pour interfacer son application avec la carte CPS et d sireux de migrer du v
84. t organis e tel qu illustr ci apr s est impact e par le passage de la Cryptolib CPS v4 vers les composants Cryptolib CPS v5 double saisie de code porteur probable Ce sc nario correspond par exemple au cas Saisie code porteur Saisie code porteur d une application LPS acc dant la carte pour ses besoins propres processus 1 et Ressources 1 ex DLL Ressources 2 ex DLL s interfa ant avec l AW PS DMP via un processus Internet Explorer embarqu processus 2 diteur 2 Microsoft Cryptolib CPS ex DLL Cryptolib CPS ex DLL GALSS ou PC SC Communication inter processus sous forme Mauvaise pratique de passage de param tres et d interpr tation de codes retours lt Appels d APIs Responsabilit de l entreprise A Responsabilit de l entreprise B Figure 3 Application multi processus utilisant la Cryptolib CPS pour acc der la carte CPx 17 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 3 mani res de r gler le probl me 8 3 1 1 Solution 1 Communication inter processus ad hoc ad_hoc i e sp cifique au contexte particulier de application pour les connexions cartes Saisie code porteur A Ressources 1 Ressources 2 ex DLL ex DLL Cryptolib CPS GALSS ou PC SC Communication inter processus via des API syst me pipes rpc net
85. tion Tests Q amp A avec la Cryptolib CPS v5 du tableau tablissant la relation 1 1 D bloiemernt entre API CPS et PKCS 11 de la Cette phase permet aussi de se placer directement dans les bonnes pratiques de p Cryptolib CPS v5 fourni en annexe rationalisation des fili res d acc s carte CPx les probl mes de double saisie de code porteur sont r solus optionnel d pend du degr d d aboutissement de la phase D finition de l API 3 pr c dente D veloppement d une API d acc s la carte CPx en relation avec le besoin r el de D veloppements LPS dans sa version v3 supportant la Cryptolib CPS v5 et acc dant la carte CPx via l API PKCS 11 l application en termes d acc s carte CPx Tests Q amp A avec la Cryptolib CPS v5 D ploiement Tableau 12 Chemin de migration v4 v5 pour une application utilisant l API CPS 37 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 9 3 3 Co ts Hypoth ses chiffrage phase 2 Manuels d installation et d utilisation de la Cryptolib CPS v5 et guide de programmation PKCS 11 lus et assimil s Expression de besoins et sp cifications relatifs l acc s carte CPx ergonomie fonctionnalit s disponibles Tests unitaires de d veloppements relatifs l acc s carte CPx via l API CPS disponibles D veloppements d di s au portage pas d autre d veloppement correctio
86. tolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 Parall lement les middlewares cartes ne permettant pas un tel niveau d int gration pr sentent un grave d faut de conception qui induit des co ts de conception et de maintenance tr s importants pour les diteurs n cessit de monter en comp tence les quipes techniques sur des technologies de niche peu performantes mal maintenues mal ma tris es et mal d ploy es manque de comp tences disponibles sur le march insularit de la r flexion des corrections des perspectives d volution qui freine l innovation et l efficience long terme ___interop rabilit difficile bridges frein l apparition de nouveaux acteurs hors secteur pouvant potentiellement apporter des nouvelles id es des nouveaux concepts ou des nouvelles m thod ologi es Cette pr conisation que l on peut r sumer sous le terme respect des standards est reprise par l ASIP Sant dans ses pr conisations d architecture logicielle L ASIP Sant applique autant que faire se peut sa propre r gle ses propres projets 16 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 8 3 Analyse de diff rents logiciels dans leur partie acc s carte 8 3 1 Exemple 1 tude du cas application multi processus Une application multi processus utilisant la Cryptolib CPS pour acc der la carte CPx e
87. v5 l application utilise le PKCS 11 de la Cryptolib CPS v4 aucun impact apr s installation du package Cryptolib CPS v5 puisque le PKCS 11 de la Cryptolib CPS v4 est copi l application utilise l API CPS de la Cryptolib CPS v4 aucun impact apr s installation du package Cryptolib CPS v5 puisque l API CPS de la Cryptolib CPS v4 est copi e l application adresse en dur le CSP de la Cryptolib CPS v4 aucun impact apr s installation du package Cryptolib CPS v5 puisque le CSP de la Cryptolib CPS v4 est copi Sous Microsoft Windows l application utilise l interface CAPI du syst me aucun impact apr s installation du package Cryptolib CPS v5 puisque c est le CSP de la Cryptolib CPS v5 qui est sollicit et qu il est iso fonctionnel avec le CSP de la Cryptolib CPS v4 Tableau 5 Impact du passage de la Cryptolib CPS v4 la v5 11 90 ASIP Sant Support de la Cryptolib CPS v5 Impacts de la migration CPS2Ter vers CPS3 09 04 2015 7 2 Cryptolib CPS v5 un meilleur suivi des standards La Cryptolib CPS v5 introduit 4 volutions importantes 5 Une meilleure compartimentation du code porteur a La Cryptolib CPS v5 suit les derni res recommandations de s curit en mati re de saisie du code porteur 6 Un meilleur support des architectures Microsoft Windows a Support du 64b b Am liorations du CSP i Notamment en termes de performances 7 Un meilleur support du standard
88. xemple 5 C 8u E ie tend le eee den nee eds dant arte tent 26 Tableau 11 Exemple 6 Multiplication des fili res d acc s carte 30 Tableau 12 Chemin de migration v4 v5 pour une application utilisant PAPI CPS 37 Tableau 13 Hypoth ses chiffrage phase 2 38 Tableau 14 Co ts migration v4 v5 pour une application utilisant l API CPS phase 2 38 Tableau 15 Chemin de migration v4 v5 pour une application utilisant PAPI CPS 41 Tableau 16 R sum des impacts migration Cryptolib CPS v5 ssssnnssenensseneessesesssenensserensserensserenssee 47 Tableau 17 Impact Chargement des DLL PKCSH11 49 Tableau 18 Impact Chargement des DLL PKCSH11 50 Tableau 19 Impact Changement d identifiants et de labels PKCSH 11 51 Tableau 20 Liste des identifiants de cl ss 52 Tableau 21 Impact Changement Identifiants de cl s ss 53 Tableau 22 Impact Changement comportement de la fonction C_GetTokeninfo 54 Tableau 23 Gestion de la session sise 54 Tableau 24 Impact Changement de la gestion du code porteur 55 Tableau 25 Impact Changement de la gestion du code porteur 62 Tableau 26 Impact Changement de fen tre de saisie du code porteur sous Windows ssss 000 63 Tableau 27 Impact Changement dans les m canismes de signature 64 Tableau 28 Impact Changement dans les m canismes de signature 65 Tableau 29 I
Download Pdf Manuals
Related Search