Un projet de PKI à l’échelle nationale, avec une autorité racine de certification assurée par Controller of Certifying Authorities (CCA)

En Inde, l’autorité racine de confiance s’appuie sur la technologie de Nexus.

L’organisation gouvernementale indienne Controller of Certifying Authorities (CCA) vise à promouvoir la croissance de l’e-commerce et de l’e-gouvernance par l’adoption massive des signatures électroniques. Afin de permettre la reconnaissance mutuelle des signatures électroniques par l’ensemble des organisations publiques et privées, une PKI à l’échelle nationale est en voie d’implémentation, dont l’autorité racine de certification sera détenue par CCA. CCA a retenu Nexus Certificate Manager en tant que plateforme de confiance de la Root Certifying Authority of India (RCAI). La sécurité renforcée, la conformité aux normes ainsi que la flexibilité de la solution de Nexus ont joué un rôle clé dans cette décision.

IT Act, 2000 – Promouvoir l’« e-croissance » par la confiance

Controller of Certifying Authorities (CCA) est une organisation gouvernementale établie à New Delhi, en Inde. Sa création a été initiée par le gouvernement indien dans le cadre de la loi IT Act, 2000 et l’organisation CCA a vu le jour le 1er novembre 2000. CCA vise à promouvoir la croissance de l’e-commerce et de l’e-gouvernance par l’adoption massive des signatures électroniques. La mission de CCA est d’établir la confiance au sein de l’environnement électronique par le développement d’outils adaptés ainsi que d’une infrastructure interopérable, conformément aux différentes dispositions de l’IT Act, 2000. Cette législation fixe les règles et fournit des recommandations en ce qui concerne la génération et l’utilisation des certificats numériques, indispensables dans le cadre des signatures électroniques. Dans cette optique, CCA a mis en place la Root Certifying Authority of India (RCAI). Les organisations et les usagers souhaitant utiliser les signatures électroniques recevront leurs certificats de la part des autorités de certification (ACs) autorisées, lesquelles obtiendront leurs propres certificats de la RCAI. Ainsi, la RCAI joue le rôle de « racine de confiance » pour la validation des signatures électroniques. En outre, la RCAI est chargée de fournir les informations d’état de révocation (CRL) des ACs autorisées.

Une plateforme de gestion des certificats

CCA était à la recherche d’une solution à la fois hautement sécurisée, ouverte et élaborée à partir de standards, pour la production et la gestion des certificats électroniques. Nexus Certificate Manager a été retenu pour la flexibilité de son design, la rigueur de ses mécanismes de sécurité, ainsi que sa conformité aux normes PKI. La plateforme, évolutive, est capable de prendre en charge plusieurs ACs ainsi que le support par interface graphique dans le cadre de processus variés :

  • gestion des clés et des procédures des ACs
  • gestion des utilisateurs des ACs (administrateurs de sécurité et opérateurs)
  • gestion des clés des utilisateurs, enregistrement, génération des certificats, production des CRL, gestion des jetons/cartes, impression de lettres PIN, publication et distribution des certificats, e-mailing
  • génération et stockage sécurisés des clés des ACs racines
  • certification croisée pour les ACs autorisées

Présentation du système

Le site de production est installé dans des locaux ultra sécurisés et consiste en deux déploiements de Nexus Certificate Manager en mode actif/passif afin de garantir une haute disponibilité. Les deux systèmes sont constamment dupliqués en miroir afin de maintenir en permanence la cohérence des données. Chacun de ces systèmes peut être actif sans aucun impact sur la fonctionnalité de la plateforme. Des modules de sécurité matériels (HSM), capables de prendre en charge le niveau de sécurité FIPS 140-2, génèrent et stockent de façon sécurisée les clés privées des ACs racines. Un site secondaire, installé à Bangalore, assure la reprise après incident, et peut immédiatement prendre en charge la production en cas de problème sérieux survenu sur le site de production principal. Ce site secondaire est la réplique exacte du site principal.

Le fruit d’une étroite coopération

Le projet a été mené en collaboration avec un partenaire local, qui en a assuré la direction sur site, conformément au plan établi en plusieurs étapes. Nexus était responsable de la fourniture du logiciel d’AC ainsi que de l’expertise dans le domaine de la PKI. Une attention particulière a été dévolue au transfert des compétences au bénéfice du partenaire local et du personnel de CCA. Un consultant Nexus s’est rendu à de multiples reprises sur le site de New Delhi afin de procéder à l’installation et à la configuration du logiciel. Nexus était en outre chargé de conseiller les équipes sur les questions d’ordre technique et organisationnel, ainsi que de les aider à élaborer les processus appropriés afin de préserver la sécurité de l’exploitation de l’AC. Un programme de formation étendu a été mené sur le site afin de garantir que le personnel de CCA soit en mesure d’exploiter et de maintenir de façon autonome l’ensemble du système. La plateforme est à présent pleinement opérationnelle, et hébergée dans des locaux ultra sécurisés dont l’accès est interdit au personnel non autorisé. Au fil des années, elle a été régulièrement mise à niveau, jusqu’aux toutes dernières versions du logiciel Origo.

Résultats et perspectives

La réussite du projet de CCA a généré d’autres projets en lien avec PKI au sein du vaste marché IT indien en pleine croissance. L’adoption massive des signatures électroniques engendre la croissance des services de validation de ces signatures. Bien que la fonction de validation soit généralement implémentée au sein du logiciel sous-jacent, il peut être souhaitable d’externaliser cette fonction, à la fois sensible et complexe, vers un serveur centralisé. CCA est en cours de réflexion sur la possibilité de mettre en place un service de validation de confiance, élaboré à partir de standards de l’industrie, au sein du framework de la RCAI.

Autres cas