Annexe 1 SigV (de) : Différence entre versions
m |
m (Mise à jour) |
||
Ligne 82 : | Ligne 82 : | ||
Version originale de cette norme : [http://bundesrecht.juris.de/sigv_2001/anlage_1_22.html Annexe 1 SigV] | Version originale de cette norme : [http://bundesrecht.juris.de/sigv_2001/anlage_1_22.html Annexe 1 SigV] | ||
− | [http://www.ssi.gouv.fr/ | + | [http://www.ssi.gouv.fr/site_article135.html Différentes versions des critères communs de contrôle et d'évaluation de la sécurité des techniques de l'information, dont certaines en français] |
Version actuelle en date du 25 février 2010 à 18:48
Allemagne > Index par code (de) > Loi sur la signature électronique (Signaturgesetz) >
Décret relatif à la signature électronique (Signaturverordnung)
Annexe 1 (au § 11, al. 3, au § 15, al. 5 et au § 16,
al. 2) : Prescriptions pour le contrôle des
produits de signature électronique qualifiée
I. Concernant le § 11, al. 3 du présent décret et conformément au § 15, al. 7 de la Loi sur la signature (accréditation volontaire)
1. Prescriptions relatives au contrôle
1.1 Exigences et niveau de contrôle
Le contrôle des produits de signature électronique prévu par les prescriptions du § 15, al. 7 et du 17, al. 4 de la Loi sur la signature doit se faire selon les « Critères communs de contrôle et d'évaluation de la sécurité des techniques de l'information » (« Common Criteria for Information Technology Security Evaluation », Bulletin fédéral des annonces officielles 1999 S. 1945, - ISO/IEC 15408) ou selon les « Critères d'évaluation de la sécurité des systèmes informatiques » (ITSEC - Bulletin ministériel commun du 8 août 1992, p. 545) dans leur version en vigueur.
Le contrôle doit
a) pour les composants techniques prévus par le 2, n° 12, a. de la Loi sur la signature au minimum atteindre le niveau de contrôle EAL 4 ou E 3,
b) pour les dispositifs sécurisés de création de signature définis par le § 2, n° 10 de la Loi sur la signature au minimum atteindre le niveau de contrôle EAL 4 ou E 3,
c)
- i) pour les composants techniques pour les services de certification définis par le § 12, n° 12, b. et c. de la Loi sur la signature qui sont employés à l'extérieur d'un endroit particulièrement sécurisé (« Trustcenter »), au minimum atteindre le niveau de contrôle EAL 4 ou E 3,
- ii) pour les composants techniques pour les services de certification définis par le § 12, n° 12, b. et c. de la Loi sur la signature qui sont employés à l'intérieur d'un endroit particulièrement sécurisé, au minimum atteindre le niveau de contrôle « EAL 3 » ou « EAL 2 »,
d) pour les composants applicatifs de signature définis par le § 2, n° 11 de la Loi sur la signature, au moins atteindre le niveau de contrôle « EAL 3 » ou « E 2 ».
1.2 Exigences relatives à l'évaluation des points faibles/résistance des mécanismes
Pour les niveaux de contrôle « EAL 4 » et « EAL 3 » prévus par la section I, n° 1.1, a. à c., i) et d., les mesures prescrites contre un fort potentiel d'attaque doivent être contrôlées et une analyse complète des abus doit être menée.
La résistance des mécanismes de sécurité doit être évaluée à « élevée » dans le cas « E 3 » et « E 2 » pour tous les produits prévus par la Section I, n° 1.1 a. à d.
Par exception, une évaluation du mécanisme de sécurité à « moyen » suffit au mécanisme d'identification par des caractéristiques biométriques, si celles-ci sont utilisées en complément d'une identification par des connaissances.
1.3 Exigences relatives aux algorithmes
Les algorithmes et paramètres associés doivent être jugés appropriés conformément à la section I, n° 1.2 de la présente annexe.
2. Algorithmes - Publication et redéfinition de l'adéquation
L'autorité compétente publie dans le Bulletin fédéral des annonces officielles une vue générale sur les algorithmes et les paramètres associés considérés comme appropriés pour la création de clef de chiffrement, le hash de données signées ou pour la création et le contrôle de clefs de signature, ainsi que le moment jusqu'auquel l'adéquation suffit pour chacun d'eux. Ce moment dois se trouver au moins six ans après le moment de l'évaluation et de la publication. L'adéquation doit être redéterminée tous les ans ainsi qu'en cas de besoin. Il y a adéquation lorsqu'à l'intérieur de la période définie, toute falsification d'une signature électronique qualifiée ou altération de données signées indétectable peut, selon l'état de la science et de la technique, être exclue avec une probabilité confinant à la sécurité. L'adéquation est déterminée d'après les indications de l'Agence fédérale pour la sécurité des techniques de l’information en tenant compte des standards internationaux. Les experts économiques et scientifiques doivent y être associés.
3. Contrôle de la sécurité des produits de signature
Dans l'homologation de l'accomplissement des exigences relatives aux produits de signature électronique qualifiée, doivent être mentionnés
a) les dispositions conformément au § 17 de la Loi sur la signature et au § 15 du présent décret pour lesquelles vaut l'homologation et dans quelles conditions d'utilisation,
b) les algorithmes et paramètres associés prévus par la section I, n° 2 employés et le moment jusqu'auquel ceux-ci sont au moins adéquats, ainsi que
c) le niveau d'après lequel les produits ont été contrôlés et la résistance des mécanismes atteinte.
Un exemplaire du rapport de contrôle, de l'évaluation par l'organisme de contrôle et de l'homologation doit être déposée auprès de l'autorité compétente. Sur demande doit également lui être présenté tout autre document du contrôle. Elle peut, en cas d'indices de déficience dans le contrôle ou les produits contrôlés, ou en procédant par sondage, demander l'avis d'un tiers indépendant pour savoir si ces produits ont été contrôlés en respectant la présente annexe et s'ils remplissent les exigences de la Loi sur la signature et du Décret sur la signature. Les fabriquants, distributeurs et organismes de contrôle concernés doivent garantir le soutien nécessaire à cet effet. Si celui-ci n'est pas garanti ou s'il s'avère que les produits contrôlés n'ont pas été suffisamment contrôlé ou qu'ils ne remplissement pas certaines exigences, l'autorité compétente peut annuler les homologations accordées.
4. Publication de l'homologation de la sécurité des produits
L'autorité compétente doit publier dans le Bulletin fédéral des annonces officielles les produits de signature électronique qualifiée qui ont reçu, conformément à la section I, n° 3, une homologation d'un organisme prévu par le § 18 de la Loi sur la signature. Il doit y être indiqué le moment jusqu'auquel l'homologation est au moins valable. Si une homologation est annulée, l'autorité compétente doit également le publier dans le Bulletin fédéral des annonces officielles en indiquant le moment à partir duquel s'applique cette mesure.
II. Concernant le § 15, al. 5 du présent décret et conformément au § 17, al. 1 et 3 n° 1 de la Loi sur la signature (prestataires de service de certification sans accréditation volontaire déclarés conformément au § 4, al. 3 de la Loi sur la signature)
Les exigences prévues par la section I s'appliquent par analogie au contrôle de produits prévu par le § 15, al. 5.
Par exception, peuvent être utilisés,
- les produits répondant aux normes prévues par le § 15, al. 6,
- les produits prévus par le § 17, al. 2 et 3 de la Loi sur la signature (c-à-d. prévus par la section I., n° 1.1, c. et d.), pour lesquels, au lieu de l'homologation, il y a une déclaration du fabriquant conformément au § 17, al. 4 de la Loi sur la signature.
Version originale de cette norme : Annexe 1 SigV