SG-PKI Émission de certificats

.

Lors d'une remise synchrone de cartes à puce avec certificats de classe B, l'officier LRA compétent invite la personne requérante à un entretien personnel. Celle-ci doit impérativement apporter une pièce d'identité en cours de validité (carte d'identité ou passeport). L'officier LRA procède alors à l'identification de cette personne, avant de charger les certificats de classe B sur une carte à puce préconfigurée au moyen de matériel de cryptage (prestaged). Les clés sont signées et les certificats personnalisés à ce moment-là. L'officier LRA se sert à cet effet de l'assistant d'enregistrement (walk-in wizard), qui permet également de débloquer la carte. L'utilisateur final saisit lui-même le NIP dans l'assistant.

L'émission de certificats par un registration identification officer (RIO) est en premier lieu destinée aux offices et aux organisations proches de la Confédération installées sur plusieurs sites. Ce processus permet de procéder à l'identification de l'utilisateur final et à l'émission de la carte de manière sécurisée, tout en séparant ces deux étapes sur le plan spatial.

Sur instruction de son responsable hiérarchique ou de son service du personnel, le destinataire des certificats se rend personnellement auprès du RIO compétent. Ce dernier l'identifie sur la base d'une pièce d'identité en cours de validité (carte d'identité ou passeport) et saisit ses données personnelles ainsi que le numéro de série de la carte à puce préconfigurée dans le formulaire de demande de certificats.

La pièce d'identité contrôlée est ensuite copiée sur la version papier du formulaire de demande (voir ci-dessous). Le RIO et le destinataire des certificats signent tous deux le document final. Le RIO remet ensuite la carte à puce, qui n'est encore ni personnalisée, ni équipée de certificats, à l'utilisateur final. Ce dernier accuse réception de la carte et confirme avoir pris connaissance des conditions d'utilisation. Le RIO numérise les documents relatifs à la demande et les envoie à l'officier LRA compétent dans un courriel signé au moyen de son certificat de classe B.

L'officier LRA examine la demande et délivre ensuite les certificats personnels à leur destinataire. Un ticket électronique est alors automatiquement généré par le système. L'officier LRA imprime le document de déblocage au moyen du numéro de ce ticket et l'envoie par la poste à l'adresse privée du destinataire des certificats ou par courriel signé et chiffré au RIO, qui le transmet ensuite à l'utilisateur final.

Ce dernier peut alors débloquer sa carte. Il doit à cet effet s'installer à un poste de travail doté de deux lecteurs de carte et lancer l'assistant de déblocage en saisissant le numéro du ticket électronique (voir le processus «Déblocage de cartes à puce avec certificats de classe B» sous «Déblocage d'une carte à puce»). Les certificats sont alors inscrits sur la carte et il peut définir le NIP. La carte est dès lors opérationnelle.