web-dev-qa-db-fra.com

Les gouvernements et les banques pourraient-ils devenir CA?

Lorsque vous demandez un passeport, un permis de conduire, une hypothèque résidentielle, un compte bancaire, une carte de crédit, etc., l'organisme émetteur doit vérifier votre identité. Ce faisant, serait-il possible pour eux d'émettre un certificat x.509? Ceux-ci pourraient ensuite être utilisés par des particuliers pour le S/MIME, une identification rapide et facile sur les sites Web du gouvernement, des signatures numériques sur les déclarations de revenus électroniques, etc.

Plus précisément, je veux savoir:

  • Y a-t-il une raison (du point de vue de la sécurité) qu'un gouvernement, une banque ou une société de cartes de crédit ne fasse pas partie de l'ICP?
  • Est-il judicieux d'émettre des certificats x.509 associés à des entités "hors ligne", de la façon dont les clés PGP sont (supposées être) associées à de vraies personnes?
certificatescertificate-authorityidentityx.509
34
shadowtalker

Étude de cas: l'Italie

L'Italie fournit une liste d'autorités de certification racine bien connue. La liste est établie principalement par les banques ou les associations professionnelles officielles.

La liste officielle est maintenue à cette adresse (pas de version anglaise trouvée), les exigences officielles en anglais sont listées ici .

Ce que le PO demande légitimement, c'est si le gouvernement lui-même, ou une agence de confiance, peut délivrer des certificats X.509 pour tout le monde pour un usage public, par ex. signez votre propre e-mail.

En ce qui concerne l'Italie et principalement d'autres pays de l'UE, il s'agit principalement d'un choix coût/bénéfice. Les gouvernements centraux n'ont normalement pas de gros budgets.

La délivrance d'un passeport est quelque chose de différent de la maintenance des certificats numériques. Un passeport est quelque chose que les gouvernements délivrent à la majorité de leur population pour autoriser les voyages internationaux, compte tenu des flux de passagers modernes, les certificats de signature d'e-mail sont utilisés par une très petite niche du marché.

Les sociétés commerciales comme celles énumérées ci-dessus nécessitent de l'argent pour les personnes demandant une identification numérique afin de prendre en charge leur infrastructure complexe et critique. Ils vérifieront votre identifiant émis par le gouvernement pour lier une identité numérique spécifique (clé publique) à une identité émise par le gouvernement qui, en termes simples est vous, mais nous conduit ensuite dans le domaine de la philosophie: "Qui sommes-nous? Quelle est la relation entre un individu et son identité? Est-il illégal d'utiliser un nom légal?"

En Italie , encore une fois, quelque chose de plus spécifique pour une sorte d'unifié ID numérique a été fait et s'appelle - SPID (vitesse pron., acronyme Sistema Pubblico per l'Identità Digitale, Système public pour l'identité numérique) et est implémenté à l'aide des certificats X.509 et de l'échange de jetons SAML. Ces certificats ne peuvent être utilisés que pour s'authentifier. Malheureusement, l'ensemble du projet coûteux aura une vie difficile.

Identifications numériques italiennes brisées (ère pré-SPID)

Jusqu'à présent, tous les bureaux du gouvernement ont essayé de mettre en œuvre leur propre système d'identification numérique pour permettre aux gens d'utiliser un grand nombre de services en ligne, mais l'absence d'une norme d'identification numérique poussée par le gouvernement a laissé la fragmentation sur le marché.

Les 20 régions ont mis en œuvre la "CRS" (Carta Regionale Servizi, carte de santé régionale), qui est essentiellement votre carte de santé améliorée avec un jeton de carte à puce, dont Wikipédia ne montre aucune photo (mais vraiment, pensez à une puce sur la même étiquette en plastique que vous trouvez maintenant). Il contient un certificat client SSL valide uniquement (halètement!) Dans votre région, donc si vous déménagez, vous devez remplacer votre carte malgré votre Code fiscal ne change pas pendant toute votre vie.

Une autre implémentation des identifiants officiellement reconnus était la signature numérique. Oui, c'est vrai! Certificats de non-répudiation alimentés par X.509 stockés dans ... euh ... c'est le point! Ces signatures ont été développées à l'origine pour donner une valeur juridique aux documents PDF/TXT, tels que les actes notariaux ou gouvernementaux, mais également les contrats privés. Ils devaient être déployés sur des cartes à puce ou des jetons USB/SIM, mais leur difficulté d'utilisation (besoin d'un poste de travail avec lecteur, pilotes et logiciels, avec la communauté OSS en colère) a forcé les pouvoirs en place à approuver les HSM. En bref, ils ne sont utilisés que dans des environnements réglementés spécifiques où la signature manuelle est désormais interdite ou non pratique.

Et puis e-mail certifié. Troisième catastrophe dans le pays à l'étude. Ce que l'OP a demandé, c'est un certificat numérique pour ses e-mails, non? Riiiiiiiight? Les Italiens sont intelligents, si intelligents qu'ils ont réinventé leur propre SMTP avec [~ # ~] pec [~ # ~] (Posta Elettronica Certificata, Electronic Courrier certifié). Leçon rapide sur PEC:

  • L'espace d'adressage PEC est séparé des espaces de messagerie Internet (RFC822). Ils se conforment à la RFC mais, fondamentalement, une adresse PEC, sous sa forme originale, n'acceptait pas le courrier de l'hôte Internet et ne pouvait envoyer que vers des espaces d'adressage PEC. Cela a changé, car maintenant l'exception est qu'un message PEC-to-email n'est pas entièrement certifié
  • Les FAI fournissent une preuve de livraison pouvez doit être accepté dans les actes officiels et les tribunaux
  • Les FAI fournissent également la liaison des adresses aux identités avec un registre public
  • Les clés privées sont détenues par les FAI . Vous ne signez pas votre message, ils le font avec votre signature. Effrayant!!!!

Par exemple, si vous souhaitez vous renseigner officiellement auprès de M. le président Gentiloni, envoyez un message à [email protected] ils ne peuvent pas nier avoir reçu.

Passons maintenant à SPID. Sous le gouvernement du président Renzi, l'Italie a finalement tenté de définir un "système d'identification qui les gouverne tous". SPID était destiné à permettre aux citoyens d'accéder à tous les systèmes publics en ligne avec un seul identifiant. SPID est actuellement un nom d'utilisateur/mot de passe/authentification OTP émis par 4 entreprises uniquement. Les agences gouvernementales sont mandatées pour soutenir SPID pour les services publics. Dans un avenir proche, nous nous attendons à ce que le SPID soit utilisé pour la scolarisation, car vous vous inscrivez déjà à l'école de vos enfants hors ligne ou en ligne avec ou sans SPID.

Tous les systèmes d'identification numérique souffrent d'une chose: les gens n'en ont pas besoin dans leur vie quotidienne et c'est la raison pour laquelle ils ne s'inscrivent pas même lorsqu'ils sont libres. L'alphabétisation numérique dans ce pays est assez faible par rapport à d'autres pays, et tous les services/bureaux sauf un, avec évidemment aucune localisation en anglais sont disponibles sans ID numérique SPID.

Confiance internationale

Des tentatives sont faites dans l'UE pour rendre les signatures numériques et les identifiants numériques interopérables d'un pays à l'autre. Cependant, tant qu'une liste unique des autorités de certification de confiance ne sera pas établie dans toute l'Europe, les certificats émis dans un certain pays ne sont pas nécessairement approuvés dans un autre.

Cela est atténué par la directive eIDAS. Il faudra beaucoup de temps pour que les identifiants numériques soient utilisables dans tous les pays de l'UE, mais l'objectif est de créer un "marché de confiance" unique le long du "marché [monétaire] unique" actuel.

Confiance hors ligne vs en ligne

Les identifiants numériques ont peu à voir avec les certificats de confiance Microsoft et Mozilla. Si vous voyez une certaine autorité de certification dans la liste de confiance de votre navigateur, cela ne signifie pas que l'autorité de certification a le pouvoir d'émettre un certificat valide pour la signature des documents de l'Agence du revenu. Non, cela signifie que l'autorité de certification peut émettre un certificat indiquant que la machine peut "officiellement" répondre aux demandes adressées à " https://www.example.org ".

Le force et en même temps complexité du système PKI lui-même est le manque d'une liste de confiance unique et centrale. Ce manque est le seul moyen de démocratie sur Internet, mais nous y revoilà: un CA doit être enrôlé dans toutes les listes pour devenir "opérationnel".

Par exemple, je voudrais demander aux utilisateurs d'Amérique, d'Asie de l'Est et d'Océanie si leurs ordinateurs font confiance au certificat suivant:

  • Série: 35 d9 75 94 d1 b6 75 4d b6 36 42 cb b5 ea cf cf
  • Sujet DN: SERIALNUMBER = 97103420580, SN = Sicurezza, G = Ufficio, O =, DigitPA, C = IT
  • Émis par DN: CN = Ufficio Sicurezza, O = DigitPA, C = IT
  • Valable jusqu'au: 2020-05-17

Astuce: mon Windows 10 dit "non"

Mais ce certificat est un certificat officiel lié au gouvernement.

Conclusion

J'ai donné un exemple dans lequel un gouvernement central ou une banque à laquelle le gouvernement fait confiance délivre des certificats X.509 à des personnes. Il n'y a pour moi aucune vraie bonne raison qu'un gouvernement ne soit pas CA.

Le PO ne doit pas confondre la validité juridique d'une pièce d'identité "papier" avec la valeur ajoutée commerciale d'une "ID numérique" interopérable, qui est en fait un bien commercial qui vaut de l'argent.

Divulgation: mon entreprise travaille activement dans un environnement fiscal, où nos clients (opérateurs financiers) sont mandatés par la loi pour obtenir et utiliser correctement les signatures numériques. Je travaille quotidiennement avec des identifiants numériques, je prétends donc être un "expert" du sujet.

10
usr-local-ΕΨΗΕΛΩΝ

Je connais au moins n gouvernement qui a une autorité de certification racine :

Staat der Nederlanden Root CA

L'état des Pays-Bas. Autant que je sache, ils ne l'utilisent pas pour identifier les gens lorsqu'ils viennent chercher leur permis de conduire.

Je pense l'Estonie a un système dans lequel tous les résidents ont une carte contenant un certificat.

30
Sjoerd

Pour compléter réponse de Sjoerd : certains pays donnent même à chaque citoyen et résident ses propres certificats, stockés dans une ICC qui est également le document d'identité principal. Pour illustration, voici les miennes (et les deux autorités de certification du magasin de confiance de mon ordinateur macOS).

Belgium Root CA3, Citizen CA, and two citizen certificates

Ils sont utilisés dans les agences gouvernementales, les bureaux de poste, les pharmacies et même les entreprises. Beaucoup les utilisent également en ligne (à l'aide d'un lecteur de carte à puce et d'une extension de navigateur) pour déposer leurs impôts, accéder à la correspondance officielle ou demander/vérifier les avantages sociaux.

20
Constantino Tsarouhas

• Y a-t-il une raison (du point de vue de la sécurité) qu'un gouvernement, une banque ou une société de cartes de crédit ne fasse pas partie de l'ICP?

La plupart des professionnels de la sécurité tiennent à mélanger les intérêts des entreprises et ceux du gouvernement mondial et les dommages qui peuvent être causés par une autorité de certification voyous (quel que soit le propriétaire était/est) sont très réels, c'est donc le principal risque pour la sécurité.

Il y en a quelques-uns (comme CNNIC) mais la communauté ne les aime pas trop et certains ont été révoqués des magasins de certificats populaires (ce qui est aussi bien que de les tuer) à cause de abus avéré .

Cela dit, la raison pour laquelle il n'y en a pas beaucoup est probablement principalement non technique, l'obstacle à l'entrée est qu'ils devraient maintenir sa sécurité et probablement avoir des audits réguliers pour rester éligibles sur certaines listes (ce que j'imagine que la plupart ne voudraient pas à moins qu'ils ne facturent un montant qui le rend commercialement viable), comme la liste par défaut des autorités de certification de confiance de Mozilla Firefox, et aussi de ne pas signer d'autres certificats auxquels ils n'ont pas droit. L'épinglage de certificats aide (il est difficile de simuler google.com avec les navigateurs modernes maintenant), mais cela ne les empêche pas de faire semblant d'être ma banque, etc. s'ils sont compromis. De plus, il y a un risque de réputation supplémentaire s'ils sont compromis, ce qui le rend moins attrayant.

Voir aussi Y a-t-il d'autres racines de confiance sur mon ordinateur en dehors de ces 46 certificats racine? qui fait référence au certificat racine de Hong Kong Post Office.

Cette page énumérant les principaux magasins et les principes et critères à inclure qu'ils doivent suivre peut également aider.

13
Matthew1471

De nombreux gouvernements ont une autorité de certification pour leurs usages internes, qui sont utilisés à la fois pour leurs employés et leurs serveurs internes. Et délivrer correctement un certificat personnel n'est pas très différent de délivrer une carte d'identité ou un passeport.

Supposons maintenant que chaque carte d'identité délivrée dans un pays comprend une carte à puce et des certificats standard ayant la même validité que la carte d'identité elle-même. Le coût supplémentaire par rapport à une simple carte d'identité sera d'environ dix euros ou dollars. Comparé au coût des employés qui traitent la chaîne de livraison, ce n'est pas vraiment cher.

Mais si chaque citoyen a maintenant un magasin de certificats (carte à puce) solide avec un processus de livraison garanti par le gouvernement et des certificats qu'il pourrait utiliser pour toute question d'authentification, de signature numérique ou même de cryptage, pensez-vous que cela n'aura aucun impact sur les entreprises délivrer des certificats payés? À mon humble avis, il pourrait être considéré comme une concurrence déloyale par toutes ces sociétés. Et cela suffit à lui seul pour que les gouvernements ne s'engagent pas dans cette voie ...

Cela étant dit, certaines banques ont déjà des filiales spécialisées dans la livraison de certificats solides sur les cartes à puce avec livraison en face à face. Mais comme ils n'utilisent pas les ressources publiques pour cela, il n'y a pas de concurrence déloyale.

8
Serge Ballesta

L'Estonie est l'enfant de l'affiche à cet égard.

Depuis environ 15 ans, notre gouvernement gère un système ICP, dans lequel chaque citoyen et résident permanent légal reçoit une carte à puce contenant deux certificats - un pour l'authentification et un pour la signature des documents. Désormais, tout le monde peut demander une carte similaire liée à l'ICP via le programme de résidence électronique estonien .

Le certificat d'authentification est utilisé pour l'authentification en ligne sécurisée de nombreux services

  • Toutes sortes de services d'administration en ligne, à la fois personnels et pour la gestion de son entreprise
  • Services bancaires en ligne
  • Accéder à votre dossier de santé
  • Accès à n'importe quel service privé en ligne, qui implémente l'authentification par carte d'identité

Le certificat de signature peut être utilisé pour donner des signatures juridiquement contraignantes à tout type de document numérique. Cela simplifie considérablement les affaires sans déplacer des charges et des charges de papier ou se rencontrer face à face juste pour signer quelque chose.

Le même système peut également être utilisé pour crypter les documents à transmettre. Tous les certificats publics sont accessibles dans un référentiel LDAP central, si vous connaissez l'ID citoyen du destinataire. Le déchiffrement n'est bien sûr possible qu'avec la carte à puce contenant la clé privée correspondante.

De la même manière, les soi-disant "sceaux numériques" sont délivrés aux personnes morales pour signer des documents numériques au nom d'une entreprise (par exemple, une preuve numérique d'une transaction bancaire que je pourrais télécharger à partir d'un portail bancaire en ligne est signée par la banque en tant qu'entité juridique et non personne spécifique travaillant pour la banque).

L'exploitation de cette infrastructure a été sous-traitée à une entreprise privée détenue en fait par deux des plus grandes banques commerciales et le plus grand opérateur de télécommunications.

En tant qu'entreprise parallèle, cette même société dispose également d'une autorité de certification publique incluse dans les principaux navigateurs qu'elle utilise pour vendre commercialement des certificats de serveur.

8
Tarmo R

En Espagne, vous pouvez demander un certificat comme celui-ci enter image description here

qui est nécessaire pour effectuer certaines actions d'administration en ligne. Par exemple, pour acheter de la dette publique sur le site Web de la Banque d'Espagne ou obtenir un certificat de naissance en ligne. FNMT est l'organisation qui les émet, mais en fait c'est une organisation avec beaucoup d'années d'histoire, imprimant de l'argent. Le certificat peut également être utilisé pour signer des documents et bien d'autres choses, mais vous ne pouvez pas l'utiliser pour des fins de signature de logiciel (uniquement des documents).

Pour obtenir le certificat, vous pouvez:

  • Utilisez le DNI-e, la carte d'identité électronique que tout le monde a, mais vous aurez besoin d'un lecteur de carte à puce, que très peu de gens ont. Ou...
  • Rendez-vous dans un bureau du Trésor national (Agencia Tributaria) pour vérifier l'identité.

Une fois que vous avez eu le certificat, vous pouvez le renouveler autant de fois que vous le souhaitez.

Le certificat racine FNMT est inclus dans Windows et fonctionne avec Internet Explorer et Google Chrome out of the box. Il y a un rapport de bogue pour Mozilla afin de l'inclure dans leur distribution, mais il y a eu quelques problèmes et il n'est pas encore inclus.

1
Adrián Arroyo Calle