Travaux publics et Services gouvernementaux Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Liens de la barre de menu commune

Accueil > GJI > FAQ > 1.4.1 Infrastructure à clé publique

Liens institutionnels

Foire aux questions

1.4 Contexte technique

   1.4.1 Infrastructure à clé publique

  1. Quelle est la politique concernant la mise à jour et l’expiration des clés/certificats de la GJI?
  2. La fonction d’ouverture de session automatique pour serveur UAL influe-t-elle sur la durée de vie ou la période de transition des clés?
  3. Y a-t-il une période de verrouillage de 30 jours pour les utilisateurs de la GJI? Dans l’affirmative, cette période s’applique-t-elle aux certificats de dispositif ou d’application?
  4. Puis-je exporter mes justificatifs de la GJI vers l’API de cryptographie de Microsoft?
  5. Quelle est la différence entre une clé publique et une clé privée?
  6. Qu’est-ce qu’un certificat numérique?
  7. Nous développons actuellement une application (non axée sur le Web) qui utilisera l’ICP. Quelle est la marche à suivre pour tester cette application avec la GJI?
  8. Comment obtenir les produits Entrust?
  9. Puis-je réutiliser un jeton ou une carte à puce qui appartenait auparavant à quelqu’un d’autre?
1.4.1 Infrastructure à clé publique

  1. Haut de la page     Quelle est la politique concernant la mise à jour et l’expiration des clés/certificats de la GJI?

    Les périodes de validité et de transition des clés/certificats délivrés par la GJI sont les suivantes :
    Clé Longueur Durée de vie Période de transition
    Clé de signature privée 1024 RSA 50 % de la durée de vie de la clé de vérification publique = 36 mois Clients V1 = 100 jours
    Clients V2 = 60 % de la durée de vie de la clé de signature privée*
    Clé de vérification publique 1024 RSA 72 mois (6 ans)
    Clé de chiffrement publique 1024 RSA 72 mois (6 ans) Clients V1 = 100 jours
    Clients V2 = 60 % de la durée de vie de la clé de signature privée*
    Clé de déchiffrement privée 1024 RSA Aucune expiration

    * La période de transition est basée sur la durée de vie de la clé de signature privée. Pour l’AC de la GJI, la période de validité des clés de signature privées est de 50 % de la durée de vie de la clé de vérification publique (50 % de 72 mois = 36 mois). La période de transition est différente pour les clients avec paires de clés de type V1 et V2.

    Les clients avec paires de clés de type V1 (pré-Entrust Security Provider v8.0) seront assujettis à la période de transition par défaut de 100 jours prédéterminée par Entrust. La clé de signature privée entrera dans la période de transition 100 jours avant la fin de la durée de vie de 36 mois de la clé (soit au cours du 33e mois).

    Les mises à jour des paires de clés de type V2 sont effectuées selon la consigne « Update cert at % of lifetime » de la politique de définition des certificats. Pour l’AC de la GJI, la consigne « Update cert at % of lifetime » est établie à 60 %. Ainsi, un client avec paire de clés de type V2 aura une période de transition de 14,4 mois.



  2. Haut de la page     La fonction d’ouverture de session automatique pour serveur UAL influe-t-elle sur la durée de vie ou la période de transition des clés?

    L’utilisation de la fonction d’ouverture de session automatique UAL, utilisée pour ouverture de session de serveur, n’a pas d’incidence sur la durée de vie ou la période de transition des clés de la GJI.



  3. Haut de la page     Y a-t-il une période de verrouillage de 30 jours pour les utilisateurs de la GJI? Dans l’affirmative, cette période s’applique-t-elle aux certificats de dispositif ou d’application?

    Techniquement, il n’y a pas de période de verrouillage de 30 jours. Toutefois, certaines versions d’Entrust Entelligence ne permettront pas à un utilisateur d’ouvrir une session si le certificat de politique a expiré. La consigne « Policy Certificate expires in (days) » est établie à la période par défaut de 30 jours pour l’AC de la GJI.

    Diverses versions du logiciel client Entrust traitent la consigne « Policy Certificate expires in (days) » de façon différente.

    • Certaines versions d’Entrust Entelligence 6 empêchent les utilisateurs d’ouvrir une session lorsque leur certificat de politique a expiré.*
    • Entrust Security Provider (ESP) 8.0 permet à un utilisateur d’ouvrir une session si son certificat de politique a expiré. Durant l’ouverture de session, ESP 8.0 récupérera un nouveau certificat de politique de l’annuaire Entrust.


    Les paramètres suivants d’Entrust Security Manager sont associés à l’exportation des justificatifs de la GJI vers l’API de cryptographie (Cryptographic Application Programming Interface [CAPI]) de Microsoft :

    Activer la synchronisation CAPI

    • Le paramètre « Enable CAPI Synchronization » permet à un utilisateur d’exporter son profil vers l’API de cryptographie de Microsoft. Cette fonction permet à l’utilisateur de synchroniser son profil avec l’API de cryptographie de Microsoft afin que ses certificats et clés privées puissent être importés dans la mémoire de l’API de cryptographie de Microsoft. Les certificats et clés privées de l’utilisateur seront importés dans la mémoire de l’API de cryptographie de Microsoft pour être utilisés avec les applications activées pour l’API de cryptographie (p. ex. Microsoft Outlook Express ou Microsoft Internet Explorer).


    Permettre l’exportation de PKCS #12

    • Le paramètre « Allow PKCS #12 Export » permet de spécifier si un utilisateur pourra exporter son profil dans le format PKCS #12.

    Stockage non protégé de la clé CAPI

    • Le paramètre « Unprotected CAPI key storage? » spécifie qu’un utilisateur d’Entrust ESP exporte des clés non protégées lorsqu’il exporte son profil vers l’API de cryptographie de Microsoft. Lorsque ce paramètre est sélectionné, l’utilisateur n’est pas invité à entrer de l’information supplémentaire durant l’opération d’exportation.

    Exportation de clé privée à partir de CAPI

    • Le paramètre « Private key export from CAPI? » permet de spécifier si l’API de cryptographie de Microsoft peut exporter les clés d’un utilisateur vers une autre application.




  4. Haut de la page     Puis-je exporter mes justificatifs de la GJI vers l’API de cryptographie de Microsoft?

    R�ponse
    Permettre l’exportation de PKCS #12 Oui
    Activer la synchronisation CAPI Non
    Stockage non protégé de la clé CAPI? Non
    Exportation de clé privée à partir de CAPI? Oui




  5. Haut de la page     Quelle est la différence entre une clé publique et une clé privée?

    Les clés publiques sont publiées dans un annuaire, tandis que les clés privées sont détenues par l’utilisateur final. Ainsi, il n’est plus nécessaire que l’expéditeur et le destinataire partagent de l’information secrète afin d’établir leur identité. Les clés publiques sont utilisées pour tous les types de communications; aucune clé privée n’est transmise ou partagée.

    La seule exigence relative à ce système est que les clés publiques doivent être associées à leurs utilisateurs selon une méthode fiable (authentifiée). Ainsi, quiconque possède des clés ICP pourrait envoyer un message confidentiel en utilisant les clés publiques qui se trouvent dans l’annuaire. Toutefois, le message ne peut être déchiffré qu’avec les clés privées, que seul le destinataire visé a en sa possession.



  6. Haut de la page     Qu’est-ce qu’un certificat numérique?

    Un certificat numérique est un justificatif électronique qui sert uniquement à identifier une personne dans une ICP. L’information qu’il contient identifie l’utilisateur et procure aux autres parties l’assurance que l’identité de l’utilisateur a été confirmée. Dans une ICP, la confiance entre les parties est primordiale pour assurer des communications sécurisées et confidentielles. Les certificats numériques permettent d’établir cette confiance.



  7. Haut de la page     Nous développons actuellement une application (non axée sur le Web) qui utilisera l’ICP. Quelle est la marche à suivre pour tester cette application avec la GJI?

    1. Demandez une fenêtre de test afin d’utiliser l’environnement d’essai des applications des clients
    2. Allez à http://www.tpsgc-pwgsc.gc.ca/gji-icm/index-fra.html pour obtenir de l’information sur les formulaires et le processus




  8. Haut de la page     Comment obtenir les produits Entrust?

    • Si vous travaillez pour TPSGC, communiquez avec le centre d’assistance des Opérations au 613-738-7782
    • Sinon, communiquez avec le centre d’assistance de votre ministère




  9. Haut de la page     Puis-je réutiliser un jeton ou une carte à puce qui appartenait auparavant à quelqu’un d’autre?

    Un module cryptographique peut être réutilisé si son ancien détenteur n’en a plus besoin. Il est important que les renseignements de l’ancien détenteur soient supprimés avant que la carte à puce ou le jeton soit remis à un nouvel utilisateur. Pour ce faire, il suffit d’initialiser le jeton. Pour de plus amples renseignements, veuillez vous adresser à votre ALE afin d’obtenir le Guide d’aide en ligne Entrust.

    Les cartes à puce ou jetons de type PKCS#11 existants ne fonctionneront pas avec la fonction de création de certificat en ligne d’Enregistrement et administration des justificatifs en ligne (EAJL) (phase 1C).


Date de modification : 2012-10-05

Haut de la page
Avis importants