1、 UNION INTERNATIONALE DES TLCOMMUNICATIONS UIT-T X.842SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (10/2000) SRIE X: RSEAUX DE DONNES ET COMMUNICATION ENTRE SYSTMES OUVERTS Scurit Technologies de linformation Techniques de scurit Lignes directrices pour lutilisation et la gestion des ser
2、vices de tiers de confiance Recommandation UIT-T X.842 (Antrieurement Recommandation du CCITT) RECOMMANDATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES ET COMMUNICATION ENTRE SYSTMES OUVERTS RSEAUX PUBLICS DE DONNES Services et fonctionnalits X.1X.19 Interfaces X.20X.49 Transmission, signalisation et com
3、mutation X.50X.89 Aspects rseau X.90X.149 Maintenance X.150X.179 Dispositions administratives X.180X.199 INTERCONNEXION DES SYSTMES OUVERTS Modle et notation X.200X.209 Dfinitions des services X.210X.219 Spcifications des protocoles en mode connexion X.220X.229 Spcifications des protocoles en mode s
4、ans connexion X.230X.239 Formulaires PICS X.240X.259 Identification des protocoles X.260X.269 Protocoles de scurit X.270X.279 Objets grs des couches X.280X.289 Tests de conformit X.290X.299 INTERFONCTIONNEMENT DES RSEAUX Gnralits X.300X.349 Systmes de transmission de donnes par satellite X.350X.369
5、Rseaux protocole Internet X.370X.399 SYSTMES DE MESSAGERIE X.400X.499 ANNUAIRE X.500X.599 RSEAUTAGE OSI ET ASPECTS SYSTMES Rseautage X.600X.629 Efficacit X.630X.639 Qualit de service X.640X.649 Dnomination, adressage et enregistrement X.650X.679 Notation de syntaxe abstraite numro un (ASN.1) X.680X.
6、699 GESTION OSI Cadre gnral et architecture de la gestion-systmes X.700X.709 Service et protocole de communication de gestion X.710X.719 Structure de linformation de gestion X.720X.729 Fonctions de gestion et fonctions ODMA X.730X.799 SCURIT X.800X.849 APPLICATIONS OSI Engagement, concomitance et rt
7、ablissement X.850X.859 Traitement transactionnel X.860X.879 Oprations distantes X.880X.899 TRAITEMENT RPARTI OUVERT X.900X.999 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.842 (10/2000) (F) i RAPPORT TECHNIQUE ISO/CEI TR 14516 RECOMMANDATION UIT-T X.842 TECHNOLOGIES
8、 DE LINFORMATION TECHNIQUES DE SCURIT LIGNES DIRECTRICES POUR LUTILISATION ET LA GESTION DES SERVICES DE TIERS DE CONFIANCE Rsum La prsente Recommandation | Rapport technique traite des services qui ont recours des tiers de confiance (TTP). Elle propose des lignes directrices sur leur utilisation et
9、 sur la gestion des services, une dfinition claire des responsabilits et des services de base, la description et lobjet de ceux-ci, ainsi que les rles et les responsabilits des TTP et des entits qui font appel leurs services. Elle distingue les diffrentes catgories de services TTP, notamment lhoroda
10、tage, la non-rpudiation, la gestion de cls, la gestion de certificats et le notaire lectronique. Source La Recommandation X.842 de lUIT-T, labore par la Commission dtudes 7 (1997-2000) de lUIT-T, a t approuve par lAMN (Montral, 27 septembre 6 octobre 2000). Un texte identique est publi comme Norme I
11、nternationale ISO/CEI TR 14516. ii Rec. UIT-T X.842 (10/2000) (F) AVANT-PROPOS LUIT (Union internationale des tlcommunications) est une institution spcialise des Nations Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de l
12、UIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommunications lchelle mondiale. LAsamble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les
13、thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformati
14、on qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation
15、reconnue. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabi
16、lit des droits de proprit intellectuelle, quils soient revendiqus par un Membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des
17、brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux responsables de la mise en uvre de consulter la base de donnes des brevets du TSB. UIT 2002 Droits de reproduction rservs. Aucune
18、partie de cette publication ne peut tre reproduite ni utilise sous quelque forme que ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie et les microfilms, sans laccord crit de lUIT. Rec. UIT-T X.842 (10/2000) (F) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 2 Rfrence
19、s normatives 1 2.1 Recommandations | Normes internationales identiques 1 2.2 Paires Recommandations | Normes internationales quivalentes par leur contenu technique. 1 2.3 Autres rfrences. 1 3 Dfinitions 2 4 Aspects gnraux . 3 4.1 Base de lassurance scurit et de la confiance 3 4.2 Interaction entre l
20、e TTP et les entits utilisant ses services 4 4.2.1 Services TTP en ligne . 4 4.2.2 Services TTP indirects 5 4.2.3 TTP indpendants . 5 4.3 Interfonctionnement des services TTP . 5 5 Aspects oprationnels et de gestion du TTP 6 5.1 Questions dordre juridique . 6 5.2 Obligations contractuelles 7 5.3 Res
21、ponsabilits . 7 5.4 Politique de scurit . 7 5.4.1 Elments de la politique de scurit . 8 5.4.2 Normes . 9 5.4.3 Directives et procdures . 9 5.4.4 Gestion du risque 9 5.4.5 Choix des protections . 9 5.4.6 Implmentation de la scurit dans les IT 10 5.4.7 Aspects oprationnels de la scurit dans les IT 12
22、5.5 Qualit du service . 13 5.6 Ethique . 13 5.7 Taxes 13 6 Interfonctionnement . 13 6.1 TTP-utilisateurs 13 6.2 Utilisateur-utilisateur 13 6.3 TTP-TTP 14 6.4 TTP-Service charg de lapplication des lois 14 7 Principales catgories de services TTP 15 7.1 Service dhorodalge . 15 7.1.1 Autorit dhorodatage
23、 . 15 7.2 Services de non-rpudiation . 15 7.3 Services de gestion des cls 16 7.3.1 Service de production de cls . 17 7.3.2 Service denregistrement de cls . 17 7.3.3 Service de certification de cls . 17 7.3.4 Service de distribution de cls 17 7.3.5 Service dinstallation de cls . 17 7.3.6 Service de s
24、tockage de cls 17 7.3.7 Service de drivation de cls 18 7.3.8 Service darchivage de cls . 18 7.3.9 Service de rvocation de cls 18 7.3.10 Service de destruction de cls . 18 7.4 Service de gestion de certificats . 18 7.4.1 Service de certificats de cl publique . 18 7.4.2 Service des attributs de privil
25、ge 19 iv Rec. UIT-T X.842 (10/2000) (F) Page 7.4.3 Service dauthentification en ligne fond sur des certificats . 20 7.4.4 Service de rvocation de certificats 20 7.5 Services publics de notaire lectronique . 20 7.5.1 Service de production de preuves . 21 7.5.2 Service de stockage de preuves 21 7.5.3
26、Service darbitrage 21 7.5.4 Autorit notariale 21 7.6 Service darchivage numrique lectronique 22 7.7 Autres services . 23 7.7.1 Service dannuaire . 23 7.7.2 Service didentification et dauthentification . 24 7.7.3 Service de transposition en ligne 26 7.7.4 Services de rcupration . 26 7.7.5 Service de
27、personnalisation 27 7.7.6 Service de contrle daccs . 27 7.7.7 Service de signalisation des incidents et de gestion des alertes 27 Annexe A Prescriptions de scurit pour la gestion des TTP . 29 Annexe B Questions relatives la gestion des autorits de certification 30 B.1 Exemple de procdure de processu
28、s denregistrement . 30 B.2 Exemple de conditions remplir par les autorits de certification 30 B.3 Politique de certification et dclaration relative aux mthodes de certification (CPS). 32 Annexe C Bibliographie 34 Rec. UIT-T X.842 (10/2000) (F) v Introduction Pour atteindre, en affaires, des niveaux
29、de confiance suffisants dans lutilisation des systmes IT, il est indispensable de disposer des moyens techniques et lgaux adquats. Le monde commercial doit avoir la certitude que les systmes IT offrent des avantages concrets et quil pourra tabler sur de tels systmes pour laider remplir ses obligatio
30、ns commerciales et dvelopper des perspectives daffaires nouvelles. Lchange dinformations entre deux entits sous-entend un lment de confiance; pour le destinataire, par exemple, lidentit de lexpditeur et lexpditeur lui-mme se confondent et, inversement, lexpditeur part du principe que lidentit du des
31、tinataire est en fait le destinataire auquel les informations sont adresses. Cet “lment de confiance implicite“ nest pas toujours suffisant, et il faut alors recourir un “tiers de confiance“ (TTP) pour assurer lchange sr des informations. Les TTP ont notamment pour rle de donner lassurance que les m
32、essages et transactions de confiance, quils soient de nature commerciale ou autre (communications officielles, par exemple), sont transmis au destinataire voulu et lemplacement vis, que ces messages sont reus temps, au moment opportun, et quen cas de litige commercial, des mthodes appropries dtablis
33、sement et lobtention de preuves permettent de dterminer ce qui sest produit. Les services fournis par les TTP sont notamment ceux ncessaires la gestion des cls, la gestion des certificats, lidentification et lauthentification, le service daccs privilgi, la non-rpudiation, les services dhorodatage, l
34、es services de notaire lectronique ainsi que les services dannuaire. Les TTP peuvent assurer ces services totalement ou en partie. Un systme TTP doit tre conu, mis en uvre et exploit de manire donner les assurances ncessaires au niveau des services de scurit quil fournit et de satisfaire aux prescri
35、ptions rglementaires et lgales qui sappliquent. Les types et les niveaux de protection utiliss ou ncessaires varieront en fonction du type de service fourni et du contexte dans lequel se droule lapplication commerciale. La prsente Recommandation | Rapport technique a pour but: a) de donner des ligne
36、s directrices aux gestionnaires des TTP, aux concepteurs et au personnel dexploitation afin de les aider dans lutilisation et la gestion des TTP; b) de donner aux entits des lignes directrices relatives aux services assurs par les TTP et aux rles respectifs et responsabilits des TTP et des entits qu
37、i font appel leurs services. La prsente Recommandation | Rapport technique traite aussi des aspects additionnels suivants pour donner: a) un aperu de la description des services fournis; b) la comprhension du rle des TTP et de leurs caractristiques fonctionnelles; c) la base de la reconnaissance rci
38、proque des services fournis par des TTP diffrents; d) des lignes directrices sur linterfonctionnement des entits et des TTP. ISO/CEI TR 14516:2002 (F) Rec. UIT-T X.842 (10/2000) (F) 1 RAPPORT TECHNIQUE RECOMMANDATION UIT-T X.842 TECHNOLOGIES DE LINFORMATION TECHNIQUES DE SCURIT LIGNES DIRECTRICES PO
39、UR LUTILISATION ET LA GESTION DES SERVICES DE TIERS DE CONFIANCE 1 Domaine dapplication La fourniture et lutilisation dun service “tiers de confiance“ (TTP) saccompagnent dun certain nombre de questions lies la scurit qui ncessitent une orientation gnrale ayant pour but dapporter une assistance aux
40、entits commerciales, concepteurs, fournisseurs de systmes et services, etc. Il sagit notamment de questions touchant au rle et la fonction du TTP, aux relations entre le TTP et les entits qui font appel ses services, aux prescriptions de scurit gnriques, au type de scurit que chacun est tenu dassure
41、r, aux solutions possibles en matire de scurit et la gestion de la scurit du service TTP. La prsente Recommandation | Rapport technique propose des lignes directrices sur lutilisation et la gestion de ces services, une dfinition claire des responsabilits et des services de base, la description et lo
42、bjet de ceux-ci, ainsi que les rles et les responsabilits des TTP et des entits qui les utilisent. Il est destin en premier lieu aux gestionnaires de systmes, aux concepteurs, aux oprateurs de TTP et aux utilisateurs afin de les aider dans le choix des services TTP ncessaires en fonction des besoins
43、, dans la gestion, lutilisation et le dploiement oprationnel qui en rsultent et dans ltablissement dune politique de scurit au sein du TTP. Il nest pas destin tre utilis comme base dvaluation formelle dun TTP ou de comparaison formelle de TTP. La prsente Recommandation | Rapport technique distingue
44、les principales catgories de services TTP, notamment lhorodatage, la non-rpudiation, la gestion des cls, la gestion des certificats et le notaire lectronique. Chacune de ces catgories est constitue de plusieurs services qui relvent logiquement les uns des autres. 2 Rfrences normatives 2.1 Recommanda
45、tions | Normes internationales identiques Recommandation UIT-T X.509 (2001) ISO/CEI 9594-8:2001, Technologies de linformation Interconnexion des systmes ouverts Lannuaire: cadre gnral des certificats de cl publique et dattribut. Recommandation UIT-T X.810 (1995) ISO/CEI 10181-1:1996, Technologies de
46、 linformation Interconnexion de systmes ouverts Cadres de scurit pour les systmes ouverts Aperu gnral. Recommandation UIT-T X.813 (1996) ISO/CEI 10181-4:1997, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: non-rpudiation. 2.2 Paires de Reco
47、mmandations | Normes internationales quivalentes par leur contenu technique Recommandation X.800 du CCITT (1991), Architecture de scurit pour linterconnexion en systmes ouverts dapplications du CCITT. ISO 7498-2:1989, Systmes de traitement de linformation Interconnexion de systmes ouverts Modle de rfrence de base Partie 2: Architecture de scurit. 2.3 Autres rfrences ISO/CEI 9798-1:1997, Technologies de linformation Techniques de scurit Authentification dentit Partie 1: Gnralits. ISO/CEI 11770-1:1996, Technologies de linformation Techniques
