FR2898423A1 - Certified electronic signature generating device e.g. chip card, configuring method for e.g. computer, involves updating certificate to user upon reception of denomination and number by certificate producer so as to be used with device - Google Patents

Certified electronic signature generating device e.g. chip card, configuring method for e.g. computer, involves updating certificate to user upon reception of denomination and number by certificate producer so as to be used with device Download PDF

Info

Publication number
FR2898423A1
FR2898423A1 FR0601987A FR0601987A FR2898423A1 FR 2898423 A1 FR2898423 A1 FR 2898423A1 FR 0601987 A FR0601987 A FR 0601987A FR 0601987 A FR0601987 A FR 0601987A FR 2898423 A1 FR2898423 A1 FR 2898423A1
Authority
FR
France
Prior art keywords
user
producer
nominative
identity
digital
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0601987A
Other languages
French (fr)
Other versions
FR2898423B1 (en
Inventor
Jean Marc Liotier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to FR0601987A priority Critical patent/FR2898423B1/en
Publication of FR2898423A1 publication Critical patent/FR2898423A1/en
Application granted granted Critical
Publication of FR2898423B1 publication Critical patent/FR2898423B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

The method involves transmitting a pre-configured certified electronic signature generating device (D) to an identified user by a registering operator. User identity and a serial number of the device are transmitted to an administrative authority. A denomination conforming to the identity is generated by the authority. A confidential code associated to the number is transmitted to the user. A nominative digital certificate is generated and updated to the user upon reception of the denomination and the number by a nominative digital certificate producer so as to be used with the device.

Description

PROCÉDÉ SÉCURISÉ DE CONFIGURATION D'UN DISPOSITIF DE GÉNÉRATION DESECURE METHOD OF CONFIGURING A DEVICE FOR GENERATING

SIGNATURE ÉLECTRONIQUE L'invention concerne le domaine de la signature de données électroniques au moyen d'un dispositif de signature électronique, et plus précisément la configuration de dispositifs de signature électronique destinés à générer des signatures électroniques (ou numériques) associées à des certificats électroniques (ou numériques) permettant de décliner l'identité de leurs utilisateurs. On entend ici par dispositif de signature électronique aussi bien des dispositifs (matériels comportant de façon sécurisée des algorithmes et des clés cryptographiques que des modules logiciels destinés à être implantés dans un matériel informatique. De tels dispositifs jouent le rôle de magasin de clés cryptographiques (génération de clés cryptographiques dans une enceinte protégée, stockage et utilisation confidentiels de ces clés par les algorithmes de signature électronique sur saisie d'un code confidentiel) et optionnellement de magasin de certificats (conservation des certificats électroniques correspondants aux clés cryptographiques). L'utilisation de tels dispositifs permet l'adjonction d'une signature à des données numériques ou bien l'authentification de leurs détenteurs lors de communications électroniques, ou même le déchiffrement exclusif de données confidentielles par le détenteur. Par ailleurs, on entend ici par configurer un dispositif le fait de générer en son sein et de façon sécurisée au moins une clé cryptographique et d'y associer un certificat électronique nominatif, de façon traçable (c'est-à-dire que l'on connaît le dispositif objet de l'association) et certaine, à un dispositif de génération de signature électronique, de sorte que chaque utilisation de ce dispositif avec un ensemble de données numériques induise l'association traçable (c'est-à-dire que l'on peut retrouver l'identité de l'utilisateur) et certaine d'une signature électronique. Ces caractéristiques confèrent au procédé une haute sécurisation qui permet l'utilisation des dispositifs à des fins de signature électronique non répudiable et/ou à des fins 2 2898423 d'authentification forte. Ce niveau de sécurité apporte une valeur d'engagement non répudiable à valeur de preuve recevable en justice et/ou d'authentification forte avec traçabilité du contrôle d'accès et/ou de déchiffrement exclusif à l'attention du titulaire identifié de ce dispositif.  The invention relates to the field of signing electronic data by means of an electronic signature device, and more specifically the configuration of electronic signature devices intended to generate electronic (or digital) signatures associated with electronic certificates ( or digital) to identify the identity of their users. Here, the term "electronic signature device" is understood to mean both devices (devices that have secure algorithms and cryptographic keys as well as software modules intended to be implanted in a computer hardware) .These devices act as a cryptographic key store (generation of cryptographic keys in a protected enclosure, confidential storage and use of these keys by the electronic signature algorithms on entry of a confidential code) and optionally of certificate store (preservation of the electronic certificates corresponding to the cryptographic keys). Such devices allow the addition of a signature to digital data or the authentication of their holders during electronic communications, or even the exclusive decryption of confidential data by the holder. if it generates at least one cryptographic key securely and associates with it a nominative electronic certificate, in a traceable manner (that is to say that the device object of the association is known ) and certain, to an electronic signature generating device, so that each use of this device with a set of digital data induces the traceable association (i.e. the identity of the user) and certain of an electronic signature. These features provide the process with high security that allows the use of the devices for non-repudiable electronic signature and / or strong authentication purposes. This level of security provides a value of non-repudiable commitment to valid evidence admissible in court and / or strong authentication with traceability access control and / or decryption exclusive to the attention of the identified holder of this device.

5 En outre, on entend ici par identité un ensemble d'informations relatives à un utilisateur et permettant d'identifier ce dernier en tant que personne physique ou morale et/ou de renseigner des informations personnelles à son sujet. Une telle identité comprend des informations d'identification, comme par exemple un identifiant et/ou un nom (ou 10 pseudonyme) et/ou un numéro quelconque et/ou au moins une empreinte biométrique, ainsi qu'éventuellement des informations complémentaires, comme par exemple une adresse géographique et/ou un numéro de téléphone et/ou une adresse électronique (courriel) et/ou des justificatifs portant d'autres renseignements. L'identité d'un utilisateur est tout d'abord 15 collectée, puis contrôlée pour s'assurer de son exactitude, et conservée en vue d'une vérification ultérieure d'identité (grâce à la traçabilité). L'identité d'un utilisateur sert à déterminer la dénomination sous laquelle l'utilisateur sera connu dans son certificat numérique nominatif, et les informations personnelles d'identité sont conservées dans le dossier de l'utilisateur par le 20 dépositaire des identités. Comme le sait l'homme de l'art, il existe aujourd'hui deux principaux types de procédé de configuration de dispositif : celui dit à configuration synchrone et celui dit à configuration asynchrone . Les procédés de type dit à configuration synchrone requièrent la 25 présence : d'un opérateur d'enregistrement assurant à la fois le rôle de collecteur et de contrôleur d'identité, de distributeur de dispositif et de dépositaire des identités, et se portant garant du déroulement sécurisé de la configuration des dispositifs. II s'agit usuellement d'une autorité d'enregistrement ou de 30 contrôle, d'un producteur de dispositifs chargé d'approvisionner l'opérateur d'enregistrement en dispositifs prêts à être configurés, d'un producteur de certificats numériques nominatifs destinés à configurer les dispositifs respectifs d'utilisateurs différents et à prouver les identités 3 2898423 de leurs utilisateurs, et bien entendu, d'utilisateurs utilisant des dispositifs après les avoir configurés avec des certificats numériques nominatifs, afin de leur permettre de signer des données.In addition, here is meant by identity a set of information relating to a user and to identify the latter as a natural or legal person and / or to provide personal information about him. Such an identity includes identifying information, such as, for example, an identifier and / or a name (or pseudonym) and / or any number and / or at least one biometric imprint, as well as possibly additional information, such as example a geographic address and / or a telephone number and / or an e-mail address (e-mail) and / or supporting documents with other information. The identity of a user is first collected, then checked for accuracy, and retained for later identity verification (traceability). The identity of a user is used to determine the name under which the user will be known in his digital nominative certificate, and the personal identity information is stored in the user's file by the identity repository. As known to those skilled in the art, there are now two main types of device configuration method: the so-called synchronous configuration and the so-called asynchronous configuration. Synchronous configuration type processes require the presence of: a registration operator performing both the role of collector and identity controller, device distributor and identity repository, and vouching for the secure sequence of device configuration. It is usually a recording or control authority, a device producer responsible for supplying the recording operator with ready-to-configure devices, a producer of nominative digital certificates for configure the respective devices of different users and prove the identities 3 2898423 of their users, and of course, users using devices after configuring them with nominative digital certificates, to enable them to sign data.

5 Les procédés de ce type consistent à enchaîner les étapes suivantes : le producteur de dispositifs fournit à l'opérateur d'enregistrement des dispositifs prêts à être configurés, l'utilisateur requiert un dispositif auprès de l'opérateur d'enregistrement, et 10 décline son identité, par exemple en présentant une pièce d'identité, l'opérateur d'enregistrement collecte, contrôle et enregistre l'identité de l'utilisateur, puis attribue au hasard à cet utilisateur l'un des dispositifs fournis par le producteur de dispositifs, puis il attribue une dénomination à l'utilisateur, et enfin transmet il la dénomination de l'utilisateur au 15 producteur cle certificats numériques nominatifs, l'utilisateur, désormais titulaire d'un dispositif, peut immédiatement effectuer une demande de certificat numérique nominatif auprès du producteur de certificats numériques nominatifs, qui en retour lui délivre un certificat numérique nominatif en présence de l'opérateur 20 d'enregistrement, et l'utilisateur configure son dispositif avec le certificat numérique nominatif délivré par le producteur de certificats numériques nominatifs. Les procédés à configuration synchrone permettent de réduire au maximum les interventions, et donc les échanges, mais reposent sur l'intégrité 25 de l'opérateur d'enregistrement. Ce dernier, du fait qu'il assure également le rôle de contrôleur, doit bénéficier d'une habilitation ou être assermenté de façon officielle et compatible avec le niveau de sécurité requis. Ces procédés sont incompatibles avec une configuration de dispositifs à grande échelle par le biais d'opérateurs plus ou moins fiables 30 et/ou compétents. En effet, le remplacement des personnels au sein de réseaux de vente et de distribution de dispositifs est incompatible avec le niveau de qualification et d'habilitation exigé par le contrôle et la validation de l'enregistrement des identités des utilisateurs.Such methods include the following steps: the device producer provides the registration operator with ready-to-configure devices, the user requires a device from the registration operator, and 10 declines identity, for example by presenting a piece of identification, the recording operator collects, controls and records the identity of the user, then randomly assigns to that user one of the devices provided by the device producer , then it assigns a denomination to the user, and finally transmits it the name of the user to the producer of digital certificates nominatives, the user, now holder of a device, can immediately apply for a digital certificate with the producer of nominative digital certificates, which in return delivers him a digital certificate in the presence of the operator 2 0 registration, and the user configures his device with the digital certificate nominative issued by the producer of nominative digital certificates. Synchronous configuration methods make it possible to minimize interventions and therefore exchanges, but rely on the integrity of the recording operator. The latter, because it also acts as a controller, must be authorized or officially sworn in and compatible with the required level of security. These methods are incompatible with large-scale device configuration through more or less reliable and / or competent operators. In fact, the replacement of personnel within sales and distribution networks of devices is incompatible with the level of qualification and authorization required for the control and validation of the registration of user identities.

4 2898423 Ces procédés sont donc principalement vulnérables vis-à-vis des agressions de type organisationnel, c'est-à-dire liées à la tâche de vérification des informations. Les procédés de type dit à configuration asynchrone requièrent la 5 présence : d'un opérateur d'enregistrement assurant le rôle de collecteur des identités d'utilisateurs, ainsi que de distributeur de dispositifs, d'une autorité d'enregistrement, indépendante de l'opérateur d'enregistrement, assurant le rôle de contrôleur et de dépositaire des Zo identités d'utilisateurs, et se portant garante du déroulement sécurisé de la configuration des dispositifs, et d'un producteur de dispositifs, d'un producteur de certificats numériques nominatifs et d'utilisateurs, tels que ceux nécessaires aux procédés à configuration synchrone.These methods are therefore mainly vulnerable to organizational-type attacks, that is to say linked to the task of verifying the information. The so-called asynchronous configuration type processes require the presence of: a registration operator performing the role of collector of the user identities, as well as device distributor, of a registration authority, independent of the recording operator, performing the role of controller and repository of the user identity Zo, and guarantor of the secure development of the device configuration, and a producer of devices, a producer of nominative digital certificates and users, such as those required for synchronous configuration processes.

15 Les procédés de ce type consistent à enchaîner les étapes suivantes : le producteur de dispositifs fournit à l'opérateur d'enregistrement des dispositifs prêts à être configurés, l'utilisateur requiert un dispositif auprès de l'opérateur d'enregistrement, et 20 décline son identité, par exemple en présentant une pièce d'identité, l'opérateur d'enregistrement collecte l'identité de l'utilisateur, puis remet au hasard à l'utilisateur l'un des dispositifs fournis par le producteur de dispositifs, et enfin transmet l'identité de l'utilisateur à l'autorité d'enregistrement, 25 l'autorité d'enregistrement contrôle et enregistre l'identité de l'utilisateur, puis génère une dénomination pour l'identité de l'utilisateur, puis associe un mot de passe (ou code confidentiel) à la dénomination, puis transmet à l'utilisateur son mot de passe, et enfin transmet au producteur de certificats numériques nominatifs un couple comprenant la dénomination 30 de l'utilisateur et le mot de passe associé, l'utilisateur, désormais titulaire d'un dispositif, peut ensuite fournir son mot de passe au producteur de certificats numériques nominatifs, afin qu'il lui délivre en retour un certificat numérique nominatif si ce mot de passe fait 5 2898423 partie de l'un des couples transmis par l'opérateur d'enregistrement, et l'utilisateur configure son dispositif avec le certificat numérique nominatif délivré par le producteur de certificats numériques nominatifs. Les procédés à configuration asynchrone permettent un partage des 5 tâches et des responsabilités qui leur confère une certaine protection contre la compromission de l'un des intervenants. Cependant, ils mettent en oeuvre une phase de transmission d'un mot de passe secret qui affaiblit considérablement la sécurité et impose de ce fait l'utilisation de moyens matériels et organisationnels additionnels. Par exemple, on préférera 10 transmettre le mot de passe à un utilisateur par envoi d'un pli confidentiel et discret, éventuellement avec accusé de réception, plutôt qu'au moyen d'un simple courrier électronique (ou e-mail ). Ces mesures sécuritaires indispensables sont une réelle entrave à la distribution de dispositifs et de certificats numériques nominatifs à grande échelle, du fait qu'ils induisent un 15 coût prohibitif. Ces procédés sont donc principalement vulnérables vis-à-vis des agressions de type technique, c'est-à-dire liées à la délivrance du mot de passe et à celle du certificat numérique nominatif (à un instant donné le producteur de certificats numériques nominatifs dispose en effet de la 20 dénomination de l'utilisateur et de son mot de passe si bien qu'il peut générer de vrai-faux certificats). Aucun procédé connu n'apportant une entière satisfaction, l'invention a donc pour but d'améliorer la situation, notamment en vue d'une distribution à grande échelle.Such methods include the following steps: the device producer provides the registration operator with ready-to-configure devices, the user requires a device from the registration operator, and declines identity, for example by presenting a piece of identification, the recording operator collects the identity of the user, then gives the user randomly one of the devices provided by the device producer, and finally transmits the user's identity to the registration authority, the registration authority checks and registers the user's identity, then generates a denomination for the user's identity, and then associates a password (or PIN) to the denomination, then transmits to the user his password, and finally transmits to the producer of nominative digital certificates a pair including the denomination 30 of the user the user, now a holder of a device, can then provide his password to the producer of digital certificates named, so that he delivers in return a digital certificate nominative if this password is part of one of the couples transmitted by the registration operator, and the user configures his device with the digital nominative certificate issued by the producer of nominative digital certificates. Asynchronous configuration processes allow the sharing of tasks and responsibilities which gives them some protection against the compromise of one of the parties involved. However, they implement a phase of transmission of a secret password which considerably weakens the security and thus imposes the use of additional material and organizational means. For example, it will be preferred to transmit the password to a user by sending a confidential and discreet envelope, possibly with acknowledgment of receipt, rather than by means of a simple electronic mail (or e-mail). These indispensable security measures are a real impediment to the distribution of large-scale, nominative digital devices and certificates because they are prohibitively expensive. These processes are therefore mainly vulnerable to attacks of a technical nature, that is to say related to the issuing of the password and that of the digital certificate (at a given moment the producer of digital certificates nominatives indeed has the user's name and password so that it can generate true-false certificates). Since no known method is entirely satisfactory, the object of the invention is therefore to improve the situation, especially with a view to large-scale distribution.

25 Elle propose à cet effet un procédé de configuration d'un dispositif de génération de signature électronique, qui peut être mis en oeuvre chaque fois qu'un utilisateur requiert un dispositif (de génération de signature électronique) auprès d'un opérateur d'enregistrement disposant de tels dispositifs, préalablement pré-configurés au moyen de couples différents de 30 numéro de série et de code confidentiel, associés par une autorité administrative, en rendant inaccessible le code confidentiel. Ce procédé consiste alors : à faire collecter l'identité de l'utilisateur par l'opérateur d'enregistrement, puis, d'une part, à faire communiquer par ce dernier à l'utilisateur identifié 6 2898423 l'un des dispositifs pré-configurés, et d'autre part, à communiquer à l'autorité administrative l'identité de l'utilisateur (avec les justificatifs) et le numéro de série du dispositif communiqué à l'utilisateur, puis à faire générer par l'autorité administrative une dénomination 5 correspondant à l'identité de l'utilisateur, et à faire communiquer par l'autorité administrative, d'une part, à l'utilisateur le code confidentiel précédemment associé au numéro de série du dispositif qui lui a été communiqué, et d'autre part, à un producteur de certificats numériques nominatifs la dénomination attribuée à cet utilisateur et le numéro de série 10 de son dispositif, puis en cas de réception d'un numéro de série de dispositif par le producteur de certificats numériques nominatifs, à générer et mettre à disposition de l'utilisateur (concerné) un certificat numérique nominatif, afin qu'il puisse l'utiliser dans son dispositif.It proposes for this purpose a method for configuring an electronic signature generation device, which can be implemented whenever a user requires a device (electronic signature generation) from a recording operator. having such devices, previously pre-configured by means of different pairs of serial number and PIN, associated by an administrative authority, making the PIN inaccessible. This method then consists in: having the user of the user collect the identity of the user and then, on the one hand, communicating with the identified user 2898423 one of the devices configured, and on the other hand, to communicate to the administrative authority the identity of the user (with supporting documents) and the serial number of the device communicated to the user, and then to be generated by the administrative authority a denomination 5 corresponding to the identity of the user, and to make the administrative authority communicate, on the one hand, to the user the confidential code previously associated with the serial number of the device communicated to him, and on the other hand, to a producer of nominative digital certificates the denomination assigned to that user and the serial number 10 of his device, and in the event of receipt of a device serial number by the certifying producer cats numeriques nominatifs, to generate and make available to the user (concerned) a digital certificate nominative, so that he can use it in his device.

15 Le procédé selon l'invention peut comporter d'autres caractéristiques qui peuvent être prises séparément ou en combinaison, et notamment : on peut faire pré-configurer les dispositifs par le producteur de dispositifs ; l'opérateur d'enregistrement peut collecter l'identité de l'utilisateur en acceptant un justificatif d'identité authentique (par exemple un acte de 20 naissance) fourni par l'utilisateur et/ou en réalisant la (photo)copie d'une pièce d'identité ou d'un document officiel prouvant l'identité présenté(e) par l'utilisateur et/ou en prenant au moins une empreinte biométrique de l'utilisateur ; l'opérateur d'enregistrement peut communiquer le dispositif à l'utilisateur 25 par courrier ou bien il peut lui remettre en mains propres son dispositif dans l'un de ses centres d'enregistrement ; le producteur de certificats numériques nominatifs peut communiquer à l'utilisateur demandeur un certificat numérique nominatif afin qu'il l'importe dans son dispositif. Pour ce faire, il peut par exemple lui transmettre son 30 certificat numérique nominatif par voie informatique, par exemple par e-mail ; en variante, le producteur de certificats numériques nominatifs peut communiquer le certificat numérique nominatif qu'il a généré pour un 7 2898423 utilisateur à un équipement de stockage accessible à une adresse électronique choisie. Dans ce cas, l'utilisateur accède à l'équipement de stockage afin d'importer son certificat numérique nominatif, qui s'y trouve stocké, dans son dispositif ; 5 avant de transmettre au producteur de certificats numériques nominatifs le numéro de série de son dispositif, l'utilisateur peut choisir un nouveau code confidentiel pour son dispositif ; on peut utiliser des dispositifs se présentant sous la forme d'une carte à puce. Celles-ci peuvent éventuellement comprendre au moins un capteur 10 biométrique chargé d'acquérir au moins une empreinte biométrique de l'utilisateur ; en variante, on peut utiliser des dispositifs se présentant sous la forme de modules logiciels ; certains au 'moins des dispositifs peuvent être implantés dans, ou utilisés 15 par, un terminal de communication. D'autres caractéristiques et avantages de l'invention apparaîtront à l'examen de la description détaillée ci-après, et des dessins annexés, sur lesquels : la figure 1 illustre de façon très schématique et fonctionnelle les 20 principales étapes d'un procédé selon l'invention, et les acteurs concernés par ces étapes, et la figure 2 est un algorithme détaillant l'enchaînement des étapes d'un exemple de procédé selon l'invention. Les dessins annexés pourront non seulement servir à compléter 25 l'invention, mais aussi contribuer à sa définition, le cas échéant. L'invention a pour objet de permettre la fourniture et l'association de certificats numériques nominatifs à grande échelle, avec un haut niveau de sécurité, de diispositifs de génération de signature électronique fiable, par exemple à valeur d'engagement personnel non répudiable et/ou à 30 authentification forte et/ou à déchiffrement exclusif. Dans ce qui suit, on considère à titre d'exemple non limitatif que les dispositifs (de génération de signature électronique certifiée) D sont des cartes à puce(s) destinées à être utilisées dans ou par des équipements 8 2898423 informatiques, comme par exemple des ordinateurs, des téléphones, fixes ou mobiles, des équipements périphériques, ou des équipements de réseau, ou encore des terminaux de paiement électronique. Mais, l'invention n'est pas limitée à ce type de dispositif D. Elle 5 concerne en effet tout type de dispositif réalisé sous la forme de circuits électroniques, de modules logiciels (ou informatiques), ou d'une combinaison de circuits et de logiciels, pouvant contenir des algorithmes cryptographiques et stocker des clés correspondantes de façon sécurisée, et notamment intègre et confidentielle.The method according to the invention may comprise other characteristics which can be taken separately or in combination, and in particular: the devices can be pre-configured by the device producer; the registration operator may collect the identity of the user by accepting an authentic credential (eg, birth certificate) provided by the user and / or performing the (photo) copy of a an identity document or an official document proving the identity presented by the user and / or taking at least one biometric fingerprint of the user; the registration operator may communicate the device to the user by mail or he may hand-deliver the device to him in one of his registration centers; the producer of nominative digital certificates may communicate to the requesting user a digital certificate nominative so that he imports it into his device. For this purpose, he may, for example, transmit his digital nominative certificate to him electronically, for example by e-mail; alternatively, the producer of nominative digital certificates may communicate the nominative digital certificate that he has generated for a user 2898423 to storage equipment accessible to a chosen electronic address. In this case, the user accesses the storage equipment in order to import his digital registered certificate, which is stored therein, in his device; 5 before transmitting the serial number of its device to the producer of digital certificates, the user may choose a new confidential code for his device; devices in the form of a smart card can be used. These may optionally comprise at least one biometric sensor responsible for acquiring at least one biometric fingerprint of the user; alternatively, devices in the form of software modules may be used; at least some of the devices may be implanted in, or used by, a communication terminal. Other features and advantages of the invention will become apparent upon examination of the following detailed description, and the accompanying drawings, in which: FIG. 1 very schematically and functionally illustrates the main steps of a method according to the invention, and the actors concerned by these steps, and Figure 2 is an algorithm detailing the sequence of steps of an exemplary method according to the invention. The accompanying drawings may serve not only to supplement the invention, but also to contribute to its definition, as appropriate. The object of the invention is to enable the provision and the association of large-scale, nominative digital certificates, with a high level of security, of reliable electronic signature generation devices, for example with a non-repudiable personal commitment value and / or or with strong authentication and / or exclusive decryption. In the following, we consider as a non-limiting example that the devices (certified electronic signature generation) D are smart cards (s) intended to be used in or by computer equipment 2898423, such as computers, telephones, fixed or mobile, peripheral equipment, or network equipment, or electronic payment terminals. However, the invention is not limited to this type of device D. It relates to any type of device made in the form of electronic circuits, software (or computer) modules, or a combination of circuits and software, which can contain cryptographic algorithms and store corresponding keys securely, including integrity and confidential.

10 On se réfère tout d'abord à la figure 1 pour présenter les acteurs (ou intervenants) nécessaires à la mise en oeuvre d'un procédé de configuration de dispositifs (de génération de signature électronique certifiée) D, selon l'invention. L'invention requiert la présence, d'une part, d'utilisateurs souhaitant 15 utiliser un dispositif D, configuré, afin de signer certaines de leurs données, et d'autre part, de quatre acteurs indépendants les uns des autres, à savoir une autorité administrative, un producteur de dispositifs, un opérateur d'enregistrement et un producteur de certificats numériques nominatifs (CNN). Par exemple, les utilisateurs disposent d'un équipement informatique, 20 de préférence communiquant (par exemple par l'Internet), capable d'utiliser un dispositif D afin de signer des données numériques et générer à partir de ces dernières une signature électronique fiable, par exemple à valeur d'engagement personnel non répudiable et/ou à authentification forte et/ou à déchiffrement exclusif.Referring first to FIG. 1, the actors (or speakers) necessary for the implementation of a device configuration (certified electronic signature generation) method D according to the invention are presented. The invention requires the presence, on the one hand, of users wishing to use a device D, configured, in order to sign some of their data, and on the other hand, of four players independent of each other, namely a administrative authority, a device producer, a registration operator, and a producer of nominative digital certificates (CNN). For example, users have computer equipment, preferably communicating (for example via the Internet), capable of using a device D in order to sign digital data and generate from them a reliable electronic signature, for example with non-repudiable personal commitment value and / or strong authentication and / or exclusive decryption.

25 L'autorité administrative contrôle et stocke les identités des utilisateurs et se porte garante du déroulement sécurisé de la configuration des dispositifs D. Elle génère des couples primaires comportant chacun un numéro de série ns et un code confidentiel (ou mot de passe) mp destinés à permettre la pré-configuration d'un dispositif D. Elle passe également 30 commande de dispositifs pré-configurés D auprès du producteur de dispositifs, et fournit à ce dernier des couples primaires (comme cela est matérialisé par la flèche F1 de la figure 1). Le producteur de dispositifs reçoit les commandes de dispositifs D et les couples primaires (ns, mp) de l'autorité administrative, et (de préférence) 9 2898423 pré-configure les dispositifs D commandés en leur associant respectivement les couples primaires reçus, de façon inviolable, ce qui revient à générer des certificats de dispositifs. Il dispose d'au moins un centre de production de dispositifs pré-configurés D. Le producteur de dispositifs associe dans son 5 centre, à chaque dispositif D, un numéro de série ns de façon unique et traçable, et le code confidentiel (ou mot de passe) associé mp de façon unique et confidentielle. Une fois les dispositifs D pré-configurés, ils sont transmis par le producteur de dispositifs à l'opérateur d'enregistrement (comme cela est matérialisé par la flèche F2 de la figure 1).The administrative authority controls and stores the identities of the users and guarantees the secure progress of the configuration of the devices D. It generates primary pairs each having a serial number ns and a confidential code (or password) mp intended to allow the pre-configuration of a device D. It also controls pre-configured devices D from the device producer, and provides the latter with primary pairs (as shown by the arrow F1 in FIG. ). The device producer receives the device commands D and the primary pairs (ns, mp) of the administrative authority, and (preferably) 2898423 pre-configures the controlled devices D by associating them with the received primary pairs, respectively. inviolable, which amounts to generating device certificates. It has at least one production center for pre-configured devices D. The device producer associates in its center 5, each device D, a serial number ns in a unique and traceable way, and the confidential code (or word password) associated mp in a unique and confidential way. Once the devices D pre-configured, they are transmitted by the device producer to the recording operator (as shown by the arrow F2 of Figure 1).

10 Le numéro de série ns et le code confidentiel mp, qui sont associés à chaque dispositif D, constituent un certificat de dispositif qui garantit que le détenteur dudit dispositif D, après attribution, en est bien le titulaire et dispose par conséquent du droit d'obtenir son certificat numérique nominatif CNN. On notera qu'à ce stade le dispositif D n'est pas utilisable.The serial number ns and the confidential code mp, which are associated with each device D, constitute a device certificate which guarantees that the holder of said device D, after allocation, is the holder thereof and therefore has the right to obtain a CNN digital certificate. Note that at this stage the device D is not usable.

15 Les opérateurs d'enregistrement sont répartis dans au moins un centre d'enregistrement dans lesquels ils traite les demandes d'obtention de dispositifs pré-configurés D des utilisateurs (matérialisées par la flèche F3 de la figure 1). Ces demandes peuvent être faites en direct par les utilisateurs dans le centre de l'opérateur d'enregistrement, ou bien au moyen d'un 20 courrier, éventuellement électronique, transmis à une adresse (éventuellement électronique) choisie. Un opérateur d'enregistrement est chargé de collecter, contrôler et stocker les identités des utilisateurs qui lui ont demandé un dispositif préconfiguré D. La collecte de tout type d'informations d'identité peut être 25 envisagée, et notamment la collecte des informations contenues dans une pièce d'identité (comme par exemple une carte d'identité ou un passeport). Une telle collecte peut nécessiter la fourniture de pièces justificatives à remettre à l'opérateur ou dont l'opérateur fait une (photo)copie. En complément ou à la place de la collecte d'identité, on peut également 30 envisager l'enregistrement d'empreinte(s) biométrique(s) de l'utilisateur. L'opérateur d"enregistrement contrôle les pièces et/ou justificatifs et/ou empreintes fournies. L'opérateur d'enregistrement est également chargé de communiquer l'un des dispositifs pré-configurés D à chaque utilisateur ayant été contrôlé 10 2898423 avec succès (comme cela est matérialisé par la flèche F4 de la figure 1). Le dispositif pré-configuré D, qui est communiqué à un utilisateur, est par exemple choisi au hasard. Par ailleurs, la communication se fait soit directement (en mains propres) consécutivement à la collecte, lorsque 5 l'utilisateur se trouve dans un centre d'enregistrement, soit par courrier, éventuellement électronique, transmis à une adresse (éventuellement électronique) fournie par l'utilisateur. L'opérateur d'enregistrement est également chargé de transmettre à l'autorité administrative l'identité complète de l'utilisateur id et le numéro de 10 série ns du dispositif pré-configuré D qu'il lui a communiqué (comme cela est matérialisé par la flèche F5 de la figure 1). Afin de déterminer le numéro de série ns qui a été associé à un dispositif D lors de sa pré-configuration par le producteur de dispositifs (de préférence), deux solutions peuvent être envisagées. Une première solution 15 consiste à équiper l'opérateur d'enregistrement d'un équipement électronique capable de lire les numéros de série ns des dispositifs pré-configurés D. Une seconde solution consiste à faire associer à chaque dispositif D, par le producteur de dispositifs, une étiquette sur laquelle est inscrit le numéro de série ns qui lui a été associé.The recording operators are distributed in at least one recording center in which they process the requests for obtaining pre-configured devices D from the users (represented by the arrow F3 of FIG. 1). These requests can be made directly by the users in the center of the recording operator, or by means of a mail, possibly electronic, transmitted to an address (possibly electronic) chosen. A registration operator is responsible for collecting, controlling and storing the identities of users who have requested a preconfigured device D. The collection of any kind of identity information may be envisaged, including the collection of information contained in a piece of identification (such as an identity card or passport). Such collection may require the provision of supporting documents to be given to the operator or whose operator makes a (photo) copy. In addition to or instead of collecting identity, one can also consider the registration of biometric fingerprint (s) of the user. The recording operator controls the provided pieces and / or credentials and / or imprints, and the registration operator is also responsible for communicating one of the pre-configured devices D to each user that has been successfully checked (2898423). as shown by the arrow F4 in FIG. 1), the pre-configured device D, which is communicated to a user, is for example chosen at random, and the communication is done either directly (in person) consecutively at collection, when the user is in a registration center, either by mail, possibly electronic, transmitted to an address (possibly electronic) provided by the user.The registration operator is also responsible for transmitting to the administrative authority the complete identity of the user id and the serial number ns of the pre-configured device D that he communicated to him (as is dull eralised by the arrow F5 of Figure 1). In order to determine the serial number ns which has been associated with a device D during its pre-configuration by the device producer (preferably), two solutions can be envisaged. A first solution consists in equipping the recording operator with an electronic equipment capable of reading the serial numbers ns of the pre-configured devices D. A second solution consists in associating each device D with the device producer. , a label bearing the serial number ns associated with it.

20 La transmission à l'autorité administrative se fait en fonction de la nature des informations d'identité, c'est-à-dire généralement par courrier, sous la forme d'un dossier papier, à une adresse choisie. Mais, on pourrait envisager une transmission électronique (sécurisée) à une adresse électronique choisie d'informations électroniques.The transmission to the administrative authority is done according to the nature of the identity information, that is to say generally by mail, in the form of a paper file, at a chosen address. But, one could consider an electronic transmission (secure) to a chosen electronic information electronic address.

25 L'autorité administrative intervient également chaque fois qu'elle reçoit de l'opérateur d'enregistrement une identité d'utilisateur id et un numéro de série ns associé. Elle contrôle tout d'abord les informations d'identité id. Ce contrôle porte sur l'ensemble des pièces justificatives reçues et peut éventuellement se faire par interrogation d'une base de données dans 30 laquelle sont stockées des données d'information sur les utilisateurs. En complément ou à la place du contrôle d'identité, on peut également envisager un contrôle d'empreinte(s) biométrique(s) de l'utilisateur. Un tel contrôle peut éventuellement se faire par interrogation d'une base de données dans laquelle sont stockées des données biométriques des utilisateurs. Après ce 11 2898423 contrôle, l'autorité administrative génère une dénomination dn pour l'utilisateur à partir de ses informations d'identité. Les informations personnelles, comme par exemple une adresse de l'utilisateur, sont enregistrées en vue d'une éventuelle vérification ultérieure d'identité. L'autorité administrative constitue 5 finalement un couple secondaire (dn, ns) en associant la dénomination de l'utilisateur dn et le numéro de série ns du dispositif qui lui a été communiqué. L'autorité administrative doit alors rechercher dans la liste des couples primaires (ns, mp), qu'elle a précédemment stockés et transmis au producteur de dispositifs, le couple primaire contenant le numéro de série ns 10 contenu dans le couple secondaire transmis par l'opérateur d'enregistrement. Une fois cette opération effectuée, l'autorité administrative dispose, pour chaque dispositif D nouvellement attribué, de son numéro de série ns, de son code confidentiel mp et de la dénomination dn de l'utilisateur auquel il a été communiqué. L'autorité administrative peut alors communiquer à chaque 15 utilisateur, auquel a été communiqué un nouveau dispositif pré-configuré D, le code confidentiel mp qui est associé au numéro de série ns de son dispositif D (comme cela est matérialisé par la flèche F6 de la figure 1). Elle peut ensuite communiquer au producteur de certificats numériques nominatifs chaque couple secondaire (dn, ns) associé à chaque dispositif pré-configuré 20 D nouvellement communiqué à un utilisateur (comme cela est matérialisé par la flèche F7 de la figure 1). Le producteur de certificats numériques nominatifs intervient à ce stade. Il est chargé de stocker les couples secondaires transmis par l'autorité administrative et de générer des certificats numériques nominatifs CNN pour 25 les utilisateurs qui lui en font la demande. Ainsi, lorsqu'un utilisateur souhaite obtenir un certificat numérique nominatif CNN pour son dispositif D, il lui formule une demande en s'authentifiant avec le numéro de série ns de son dispositif D qui l'identifie comme titulaire dudit dispositif D activé par son mot de passe mp (comme 30 cela est matérialisé par la flèche F8 de la figure 1). L'utilisateur peut par exemple établir une connexion informatique sécurisée via le dispositif D entre son équipement informatique (qui utilise le dispositif D) et un terminal ou serveur du producteur de certificats numériques nominatifs. Le mot de passe utilisé lors de la demande peut être soit celui (mp) qui a été associé au 12 2898423 numéro de série ns par le producteur de dispositifs lors de la pré-configuration, conformément aux instructions de l'autorité administrative, soit un nouveau code confidentiel (mp') défini par l'utilisateur, afin de renforcer encore plus la sécurité.The administrative authority also intervenes each time that it receives from the registration operator an id user identity and an associated serial number. First, it checks id identity information. This check covers all the supporting documents received and may possibly be done by querying a database in which user information data is stored. In addition to or in place of the identity check, it is also possible to consider a user's biometric fingerprint check (s). Such a control may possibly be done by querying a database in which biometric data of the users are stored. After this check, the administrative authority generates a dn name for the user from his identity information. Personal information, such as an address of the user, is recorded for possible subsequent verification of identity. The administrative authority is finally a secondary pair (dn, ns) by associating the name of the user dn and the serial number ns of the device communicated to him. The administrative authority must then search in the list of primary pairs (ns, mp), which it has previously stored and transmitted to the producer of devices, the primary torque containing the serial number ns 10 contained in the secondary torque transmitted by the registration operator. Once this operation has been performed, the administrative authority has, for each newly assigned device D, its serial number ns, its confidential code mp and the denomination dn of the user to whom it has been communicated. The administrative authority can then communicate to each user, to whom has been communicated a new pre-configured device D, the confidential code mp which is associated with the serial number ns of its device D (as shown by the arrow F6 of Figure 1). It can then communicate to the producer of nominative digital certificates each secondary pair (dn, ns) associated with each pre-configured device D D newly communicated to a user (as shown by the arrow F7 of FIG. 1). The producer of nominative digital certificates is involved at this stage. It is responsible for storing the secondary pairs transmitted by the administrative authority and generating CNN digital certificates for the users who request it. Thus, when a user wishes to obtain a CNN digital certificate for his device D, he makes a request by authenticating himself with the serial number ns of his device D which identifies him as holder of said device D activated by his word pass mp (as is shown by the arrow F8 of Figure 1). The user can for example establish a secure computer connection via the device D between his computer equipment (which uses the device D) and a terminal or server of the producer of digital certificates nominatives. The password used during the request can be either the one (mp) that was associated with the 12 2898423 serial number ns by the device producer during the pre-configuration, in accordance with the instructions of the administrative authority, ie a new user-defined PIN (mp ') to further enhance security.

5 A réception d'une demande de certificat numérique nominatif CNN, le producteur de certificats numériques nominatifs retrouve la dénomination attribuée à l'utilisateur au moyen du numéro de série présenté en se référant aux couples secondaires (dn, ns) qu'il a stockés. Si le numéro de série ns fourni figure dans l'un des couples secondaires stockés, alors le producteur 10 de certificats numériques nominatifs génère un certificat numérique nominatif CNN pour la dénomination dn correspondante. Puis, le producteur de certificats numériques nominatifs peut par exemple communiquer à l'utilisateur demandeur le certificat numérique nominatif qu'il vient de générer (comme cela est matérialisé par la flèche F9 15 de la figure 1). Cette communication peut se faire soit au moyen de la même connexion précédemment établie par l'utilisateur entre son équipement informatique et le terminal ou serveur du producteur de certificats numériques nominatifs, soit directement (en mains propres) lorsque l'utilisateur se trouve dans un centre CPCNN du producteur de certificats numériques nominatifs, 20 soit encore par courrier transmis à une adresse (éventuellement électronique) désignée par l'utilisateur, ou par tout autre moyen. Lorsqu'un utilisateur dispose d'un certificat numérique nominatif CNN, attribué par le producteur de certificats numériques nominatifs, il peut alors l'associer à son dispositif D (comme cela est matérialisé par la flèche F10 de 25 la figure 1). On entend ici par associer le fait de configurer le dispositif D au moyen du certificat numérique nominatif CNN. Cette configuration peut se faire selon toute technique connue de l'homme de l'art. En variante, le producteur de certificats numériques nominatifs peut par exemple communiquer le certificat numérique nominatif, qu'il vient de 30 générer pour l'utilisateur qui lui en a fait la demande, à un équipement de stockage déporté (comme par exemple une base de données), accessible à une adresse électronique connue. L'utilisateur peut alors accéder à l'équipement de stockage pour rapatrier (ou importer) dans son dispositif D le certificat numérique nominatif qui lui a été attribué. En variante, chaque fois 13 2898423 que l'utilisateur a besoin de signer des données avec son dispositif D, il accède à l'équipement de stockage pour disposer du certificat numérique nominatif associé à son dispositif D. On se réfère maintenant à la figure 2 pour décrire les étapes d'un 5 algorithme représentatif d'un exemple de mise en oeuvre d'un procédé selonl'invention. Dans une étape 10, l'autorité administrative génère des couples primaires (ns, mp), par exemple N, afin de les stocker dans une mémoire puis de les transmettre au producteur de dispositifs pour qu'il les utilise pour pré- 10 configurer N dispositifs D. Dans une étape 20, le producteur de dispositifs réceptionne les N couples primaires (ns, mp), puis (de préférence) pré-configure N dispositifs D en associant à chacun d'entre eux l'un des N couples primaires reçus, ce qui revient à générer pour chacun d'entre eux un certificat numérique de 15 dispositif. Dans une troisième étape 30, le producteur de dispositifs répartit les N dispositifs D pré-configurés parmi M opérateurs d'enregistrement (M ? 1). Dans une étape 40, un utilisateur demande à l'un des opérateurs d'enregistrement de lui fournir un dispositif pré-configuré D.5 On receipt of a CNN digital certificate application, the producer of nominative digital certificates regains the name assigned to the user by means of the serial number presented by referring to the secondary pairs (dn, ns) that he has stored . If the provided serial number is in one of the stored secondary pairs, then the producer 10 of nominative digital certificates generates a CNN digital name certificate for the corresponding den name. Then, the producer of nominative digital certificates may, for example, communicate to the requesting user the digital certificate that he has just generated (as shown by arrow F9 in FIG. 1). This communication can be done either by means of the same connection previously established by the user between his computer equipment and the terminal or server of the producer of digital certificates nominatives, either directly (in person) when the user is in a center CPCNN of the producer of nominative digital certificates, 20 still by mail sent to an address (possibly electronic) designated by the user, or by any other means. When a user has a digital CNN certificate, assigned by the producer of digital certificates nominative, he can then associate it with his device D (as shown by the arrow F10 of Figure 1). Here is meant to associate the fact of configuring the device D by means of the CNN digital nominative certificate. This configuration can be done according to any technique known to those skilled in the art. As a variant, the producer of nominative digital certificates may, for example, communicate the digital nominative certificate, which he has just generated for the user who has requested it, to a remote storage equipment (for example a database of data), accessible at a known e-mail address. The user can then access the storage equipment to repatriate (or import) into his device D the digital certificate assigned to him. As a variant, each time the user needs to sign data with his device D, he accesses the storage equipment in order to have the digital nominative certificate associated with his device D. Referring now to FIG. 2 to describe the steps of an algorithm representative of an exemplary implementation of a method accordingin the invention. In a step 10, the administrative authority generates primary pairs (ns, mp), for example N, in order to store them in a memory and then to transmit them to the device producer for use in order to pre-configure N devices D. In a step 20, the device producer receives the N primary pairs (ns, mp), then (preferably) pre-configures N devices D by associating with each of them one of the N primary pairs received which amounts to generating for each of them a digital device certificate. In a third step 30, the device producer distributes the N pre-configured devices D among M recording operators (M? 1). In a step 40, a user requests one of the registration operators to provide him with a pre-configured device D.

20 Dans une étape 50, l'opérateur d'enregistrement collecte l'identité id de l'utilisateur qui lui demande un dispositif pré-configuré D. Si la collecte est incomplète, l'opérateur d'enregistrement refuse dans une étape 60 de communiquer un dispositif D à l'utilisateur, et le procédé de configuration s'interrompt à ce stade. En revanche, si la collecte est complète, l'opérateur 25 d'enregistrement communique dans une étape 70 l'un des dispositifs préconfigurés D à l'utilisateur identifié avec succès. Puis, il communique à l'autorité administrative l'identité d'utilisateur id (et tous ses justificatifs) et le numéro de série ns de son dispositif pré-configuré D. Dans une étape 80, l'autorité administrative recherche parmi les 30 couples primaires (ns, mp), qu'elle a stockés, si il en existe un qui comporte le numéro de série ns transmis par l'opérateur d'enregistrement. Si ce n'est pas le cas, le procédé de configuration s'interrompt à ce stade. En, revanche, si c'est le cas, l'autorité administrative génère une dénomination dn pour l'utilisateur correspondant à l'identité id et au numéro de série ns. Elle dispose 14 2898423 alors du numéro de série ns du dispositif D attribué à l'utilisateur, de son code confidentiel mp et de la dénomination dn dudit utilisateur. L'autorité administrative communique alors à l'utilisateur le code confidentiel mp qui est associé au numéro de série ns de son dispositif D. Puis, elle communique au 5 producteur de certificats numériques nominatifs un couple secondaire (dn, ns) associé au dispositif pré-configuré D de l'utilisateur, afin qu'il le stocke. Dans une étape 90, l'utilisateur demande au producteur de certificats numériques nominatifs de lui fournir un certificat numérique nominatif CNN pour son dispositif D, et se présente en tant que titulaire du dispositif D en 10 déclinant le numéro de série ns par une connexion authentifiée à l'aide dudit dispositif D. Le dispositif D est alors activé à l'aide du mot de passe mp, qui a été associé au numéro de série ns de son dispositif D par le producteur de dispositifs lors de la pré-configuration, ou bien à l'aide d'un nouveau code confidentiel mp' choisi par l'utilisateur demandeur.In a step 50, the registration operator collects the identity id of the user requesting a pre-configured device D. If the collection is incomplete, the registration operator refuses in a step 60 to communicate a device D to the user, and the configuration process is interrupted at this stage. On the other hand, if the collection is complete, the registration operator communicates in a step 70 one of the preconfigured devices D to the user successfully identified. Then, it communicates to the administrative authority the id user identity (and all its credentials) and the serial number ns of its pre-configured device D. In a step 80, the administrative authority searches among the 30 couples primary (ns, mp), which it has stored, if there is one which contains the serial number ns transmitted by the registration operator. If this is not the case, the configuration process stops at this point. In contrast, if this is the case, the administrative authority generates a name dn for the user corresponding to the identity id and the serial number ns. It then has the serial number ns of the device D assigned to the user, its confidential code mp and the denomination dn of said user. The administrative authority then communicates to the user the confidential code mp which is associated with the serial number ns of its device D. Then it communicates to the producer of nominative digital certificates a secondary pair (dn, ns) associated with the pre-device. -configured D of the user, so that it stores it. In a step 90, the user requests the producer of nominative digital certificates to provide him with a CNN digital nominative certificate for his device D, and presents himself as holder of the device D by declassifying the serial number ns by an authenticated connection. with the aid of said device D. The device D is then activated using the password mp, which has been associated with the serial number ns of its device D by the device producer during the pre-configuration, or well using a new mp 'PIN chosen by the requesting user.

15 Dans une étape 100, le producteur de certificats numériques nominatifs recherche le couple secondaire, parmi ceux qu'il a stockés, qui correspondant au numéro de série ns décliné par l'utilisateur. Si le numéro de série ns reçu ne correspond à aucun couple secondaire stocké, alors le producteur de certificats numériques nominatifs refuse dans une étape 110 de 20 générer un certificat numérique nominatif CNN, ce qui interrompt le procédé de configuration à ce stade. En revanche, si le numéro de série ns reçu correspond à l'un des couples secondaires stockés, alors le producteur de certificats numériques nominatifs génère dans une étape 120 un certificat numérique nominatif CNN, puis il communique ce dernier à l'utilisateur 25 demandeur ou bien à un équipement de stockage déporté accessible à une adresse électronique connue. Enfin dans une étape 130, l'utilisateur associe le certificat numérique nominatif CNN, qui lui a été attribué, à son dispositif D. Cette association consiste par exemple à configurer son dispositif D en important le certificat 30 numérique nominatif CNN. Le dispositif D peut alors être utilisé par l'utilisateur pour associer une signature numérique à des données numériques. II est important de noter que lorsque l'utilisateur veut utiliser son dispositif D il doit préalablement fournir le code confidentiel mp ou mp' utilisé pour le configurer, ainsi qu'éventuellement 15 2898423 au moins une empreinte biométrique lorsque le dispositif D comporte un capteur d'empreinte(s) biométrique(s). Grâce à l'invention, à aucun moment l'un des acteurs (autre que l'utilisateur titulaire du dispositif D) n'est en possession de la totalité des 5 données sensibles : l'autorité adrninistrative détient la correspondance entre les numéros de série, les codes confidentiels (initiaux) et les dénominations d'utilisateur, mais il ne dispose ni des dispositifs pré-configurés avec les couples de numéro de série et de code confidentiel (initial), ni des moyens de 10 génération des certificats numériques de dispositif correspondants, ou des certificats numériques nominatifs des utilisateurs, le producteur de dispositifs détient des dispositifs pré-configurés avec les certificats de dispositifs générés à l'aide des couples de numéro de série et de code confidentiel (initial), mais il ne dispose ni des dénominations 15 des utilisateurs auxquels sont attribués les dispositifs D, ni des moyens de génération des certificats numériques nominatifs correspondants, l'opérateur d'enregistrement détient des dispositifs pré-configurés, les numéros de série correspondants et les identités des utilisateurs auxquels il attribue les dispositifs D, mais il ne dispose ni des codes confidentiels 20 (initiaux), ni des dénominations des utilisateurs, ni des moyens de génération des certificats numériques de dispositif correspondants, ni des certificats numériques nominatifs des utilisateurs, le producteur de certificats numériques nominatifs détient les numéros de série des dispositifs D, les dénominations des utilisateurs auxquels ont été 25 attribués ces dispositifs D, et les moyens de génération des certificats numériques nominatifs correspondants, mais il ne dispose ni des codes confidentiels (initiaux), ni des identités des utilisateurs, ni des dispositifs pré-configurés avec les couples de numéro de série et de code confidentiel (initial), ni des moyens de génération des certificats 30 numériques de dispositif correspondants. On bénéfice donc de la sûreté organisationnelle induite par la séparation des responsabilités. Par ailleurs, l'obligation de détenir le dispositif D pour pouvoir obtenir un certificat numérique nominatif CNN permet de supprimer le risque 16 2898423 d'usurpation d'identité. En outre, même si le code confidentiel est frauduleusement obtenu par un tiers, celui-ci ne pourra pas l'utiliser s'il ne détient pas simultanément le dispositif D qui est associé au numéro de série auquel il a été lui-même 5 associé. De plus, le code confidentiel n'étant plus communiqué au producteur de certificats numériques nominatifs, il ne suffit plus à authentifier le titulaire d'un dispositif D. Enfin, l'utilisateur peut s'octroyer le contrôle exclusif du dispositif par 10 le changement du mot de passe initial avant d'effectuer sa demande de certificat nominatif. Le procédé selon l'invention peut donc être mis en oeuvre dans presque n'importe quel type de réseau d'enregistrement et de distribution, y compris lorsque le niveau de fiabilité de l'un des acteurs est peu élevé et/ou 15 lorsque tout ou partie de l'environnement est faiblement sécurisé. L'invention ne se limite pas aux modes de réalisation de procédé décrits ci-avant, seulement à titre d'exemple, mais elle englobe toutes les variantes que pourra envisager l'homme de l'art dans le cadre des revendications ci-après.In a step 100, the producer of nominative digital certificates searches for the secondary pair, among those he has stored, corresponding to the serial number ns declined by the user. If the serial number ns received does not correspond to any stored secondary pair, then the producer of nominative digital certificates refuses in a step 110 to generate a CNN nominative digital certificate, which interrupts the configuration process at this stage. On the other hand, if the serial number ns received corresponds to one of the stored secondary pairs, then the producer of nominative digital certificates generates in a step 120 a digital CNN certificate, then communicates the latter to the requesting user or well to a remote storage equipment accessible to a known electronic address. Finally, in a step 130, the user associates the CNN named digital certificate, which has been assigned to him, to his device D. This association consists, for example, in configuring his device D by importing the CNN digital nominative certificate. Device D can then be used by the user to associate a digital signature with digital data. It is important to note that when the user wants to use his device D he must first provide the confidential code mp or mp 'used to configure it, as well as possibly 2898423 at least one biometric fingerprint when the device D has a sensor d. biometric fingerprint (s). Thanks to the invention, at no time does any of the actors (other than the user holding the device D) possess all the 5 sensitive data: the administrative authority holds the correspondence between the serial numbers , PINs (initial) and user names, but it does not have pre-configured devices with serial number and PIN pairs (initial), nor means for generating device digital certificates. user-defined digital certificates, the device manufacturer holds pre-configured devices with the device certificates generated using the serial number and PIN pairs (initial), but does not have the names of the users to which the devices D are allocated, nor means for generating the corresponding nominative digital certificates, the operand The recorder has pre-configured devices, the corresponding serial numbers and the identities of the users to whom it assigns the D devices, but it has neither the confidential codes 20 (initial) nor the user names nor the means generation of the corresponding digital device certificates, nor the digital certificates of the users, the producer of digital certificates holds the serial numbers of the devices D, the names of the users to whom these devices D have been allocated, and the generation means corresponding numeric certificates, but it does not have the confidential codes (initial), the user identities, or the pre-configured devices with the serial number and PIN pairs (initial), nor the means of generation corresponding digital device certificates. We therefore benefit from the organizational security brought about by the separation of responsibilities. Moreover, the obligation to hold device D in order to obtain a CNN digital name certificate makes it possible to eliminate the risk of identity theft 2898423. Furthermore, even if the confidential code is fraudulently obtained by a third party, it can not use it if it does not simultaneously hold the device D which is associated with the serial number to which it has been associated. . In addition, since the PIN is no longer communicated to the producer of digital certificates, it is no longer sufficient to authenticate the holder of a device D. Finally, the user can take exclusive control of the device by the change. the initial password before applying for a nominative certificate. The method according to the invention can therefore be implemented in almost any type of recording and distribution network, even when the reliability level of one of the actors is low and / or when all or part of the environment is weakly secure. The invention is not limited to the method embodiments described above, only by way of example, but encompasses all the variants that may be considered by those skilled in the art within the scope of the claims below.

Claims (15)

REVENDICATIONS 1. Procédé de configuration d'un dispositif de génération de signature électronique, caractérisé en ce qu'il consiste lorsqu'un utilisateur requiert un dispositif de génération de signature électronique (D) auprès d'un opérateur d'enregistrement disposant de tels dispositifs (D), pré-configurés au moyen de couples différents de numéro de série et de code confidentiel, associés par une autorité administrative, en rendant inaccessible ledit code confidentiel: à faire collecter l'identité dudit utilisateur par ledit opérateur d'enregistrement, puis, d'une part, à faire communiquer par ledit opérateur d'enregistrement l'un desdits dispositifs pré-configurés (D) audit utilisateur identifié, et d'autre part, à faire communiquer par ledit opérateur d'enregistrement à ladite autorité administrative ladite identité de l'utilisateur et le numéro de série du dispositif (D) qui lui a été communiqué, puis à faire générer par ladite autorité administrative une dénomination correspondant à l'identité dudit utilisateur, et à faire communiquer par ladite autorité administrative, d'une part, audit utilisateur le code confidentiel précédemment associé au numéro de série du dispositif (D) qui lui a été communiqué, et d'autre part, à un producteur de certificats numériques nominatifs la dénomination attribuée à cet utilisateur et le numéro de série du dispositif (D) communiqué audit utilisateur, puis en cas de réception par ledit producteur de certificats numériques nominatifs d'un numéro de série de dispositif, à générer et mettre à disposition dudit utilisateur un certificat numérique nominatif, afin qu'il puisse l'utiliser avec son dispositif (D).  A method of configuring an electronic signature generating device, characterized in that it consists when a user requires an electronic signature generation device (D) from a recording operator having such devices ( D), pre-configured by means of different pairs of serial number and PIN, associated by an administrative authority, by rendering inaccessible said PIN: to collect the identity of said user by said registration operator, then, on the one hand, to cause the said registration operator to communicate one of the said pre-configured devices (D) to the said identified user, and, on the other hand, to make the said registration operator communicate to the said administrative authority the said identity of the user and the serial number of the device (D) communicated to him, and to be generated by the said administrative authority e denomination corresponding to the identity of said user, and to make said administrative authority communicate, on the one hand, to said user the confidential code previously associated with the serial number of the device (D) communicated to him, and on the other hand on the one hand, to a producer of nominative digital certificates, the denomination assigned to that user and the serial number of the device (D) communicated to said user, and, in the event that the producer of nominative digital certificates receives a device serial number, generating and making available to said user a digital nominative certificate, so that he can use it with his device (D). 2. Procédé selon la revendication 1, caractérisé en ce que l'on fait pré-configurer lesdits dispositifs (D) par un producteur de dispositifs.  2. Method according to claim 1, characterized in that one pre-configure said devices (D) by a device producer. 3. Procédé selon l'une des revendications 1 et 2, caractérisé en ce que l'on contrôle dans ledit opérateur d'enregistrement l'identité de l'utilisateur client en analysant le contenu d'au moins une pièce d'identité.  3. Method according to one of claims 1 and 2, characterized in that one controls in said registration operator the identity of the client user by analyzing the content of at least one piece of identity. 4. Procédé selon l'une des revendications 1 à 3, caractérisé en ceque ledit opérateur d'enregistrement collecte au moins une empreinte biométrique dudit utilisateur en vue de contrôler son identité.  4. Method according to one of claims 1 to 3, characterized in that said recording operator collects at least one biometric fingerprint of said user to control his identity. 5. Procédé selon l'une des revendications 1 à 4, caractérisé en ce que ledit opérateur d'enregistrement communique ledit dispositif (D) audit utilisateur par courrier.  5. Method according to one of claims 1 to 4, characterized in that said recording operator communicates said device (D) to said user by mail. 6. Procédé selon l'une des revendications 1 à 4, caractérisé en ce que l'on communique en mains propres audit utilisateur ledit dispositif (D) dans un centre dudit opérateur d'enregistrement.  6. Method according to one of claims 1 to 4, characterized in that one communicates by hand said user said device (D) in a center of said registration operator. 7. Procédé selon l'une des revendications 1 à 6, caractérisé en ce que ledit utilisateur transmet audit producteur de certificats numériques nominatifs le numéro de série de son dispositif (D) au moyen d'un équipement informatique utilisant une connexion sécurisée sur un réseau ouvert.  7. Method according to one of claims 1 to 6, characterized in that said user transmits to said producer of digital certificates nominative the serial number of his device (D) by means of a computer equipment using a secure connection on a network open. 8. Procédé selon l'une des revendications 1 à 9, caractérisé en ce que ledit producteur de certificats numériques nominatifs communique audit utilisateur demandeur un certificat numérique nominatif afin qu'il l'importe dans son dispositif (D).  8. Method according to one of claims 1 to 9, characterized in that said producer of nominative digital certificates communicates to said user requesting a digital certificate nominative so that it imports into his device (D). 9. Procédé selon la revendication 8, caractérisé en ce que ledit producteur de certificats numériques nominatifs transmet audit client son certificat numérique nominatif au moyen d'un terminal informatique sécurisé.  9. Method according to claim 8, characterized in that said producer of nominative digital certificates transmits to said customer his digital certificate nominative by means of a secure computer terminal. 10. Procédé selon l'une des revendications 1 à 7, caractérisé en ce que ledit producteur de certificats numériques nominatifs communique le certificat numérique nominatif généré pour un utilisateur à un équipement de stockage accessible à une adresse électronique connue, et en ce que ledit utilisateur accède audit équipement de stockage pour importer son certificat numérique nominatif, qui s'y trouve stocké, dans son dispositif (D).  10. Method according to one of claims 1 to 7, characterized in that said producer of nominative digital certificates communicates the registered digital certificate generated for a user to a storage device accessible to a known electronic address, and in that said user accesses said storage device to import its stored digital certificate, stored therein, into its device (D). 11. Procédé selon l'une des revendications 1 à 10, caractérisé en ce qu'avant de transmettre audit producteur de certificats numériques nominatifs le numéro de série de son dispositif (D), ledit utilisateur choisit un nouveau code confidentiel pour son dispositif (D).  11. Method according to one of claims 1 to 10, characterized in that before transmitting to said producer of nominative digital certificates the serial number of his device (D), said user chooses a new confidential code for his device (D). ). 12. Procédé selon l'une des revendications 1 à 11, caractérisé en ce que l'on utilise des dispositifs (D) se présentant sous la forme d'une carte à puce.  12. Method according to one of claims 1 to 11, characterized in that one uses devices (D) in the form of a smart card. 13. Procédé selon la revendication 12, caractérisé en ce que l'on utilisedes cartes à puce comprenant au moins un capteur biométrique propre à acquérir au moins une empreinte biométrique dudit utilisateur.  13. The method of claim 12, characterized in that one uses smart cards comprising at least one biometric sensor adapted to acquire at least one biometric fingerprint of said user. 14. Procédé selon l'une des revendications 1 à 11, caractérisé en ce que l'on utilise des dispositifs (D) se présentant sous la forme de modules 5 logiciels.  14. Method according to one of claims 1 to 11, characterized in that devices (D) in the form of software modules are used. 15. Procédé selon l'une des revendications 1 à 14, caractérisé en ce que certains au moins desdits dispositifs (D) sont implantés dans un terminal de communication ou utilisables par un terminal de communication.  15. Method according to one of claims 1 to 14, characterized in that at least some of said devices (D) are located in a communication terminal or can be used by a communication terminal.
FR0601987A 2006-03-07 2006-03-07 SECURE METHOD FOR CONFIGURING AN ELECTRONIC SIGNATURE GENERATING DEVICE. Expired - Fee Related FR2898423B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0601987A FR2898423B1 (en) 2006-03-07 2006-03-07 SECURE METHOD FOR CONFIGURING AN ELECTRONIC SIGNATURE GENERATING DEVICE.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0601987A FR2898423B1 (en) 2006-03-07 2006-03-07 SECURE METHOD FOR CONFIGURING AN ELECTRONIC SIGNATURE GENERATING DEVICE.

Publications (2)

Publication Number Publication Date
FR2898423A1 true FR2898423A1 (en) 2007-09-14
FR2898423B1 FR2898423B1 (en) 2008-04-18

Family

ID=37566328

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0601987A Expired - Fee Related FR2898423B1 (en) 2006-03-07 2006-03-07 SECURE METHOD FOR CONFIGURING AN ELECTRONIC SIGNATURE GENERATING DEVICE.

Country Status (1)

Country Link
FR (1) FR2898423B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009039771A1 (en) * 2007-09-20 2009-04-02 China Unionpay Co., Ltd. Mobile payment terminal and payment method based on pki technology
CN111030824A (en) * 2019-11-29 2020-04-17 国核自仪系统工程有限公司 Industrial control device identification system, method, medium, and electronic device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999019846A2 (en) * 1997-10-14 1999-04-22 Visa International Service Association Personalization of smart cards
US6880084B1 (en) * 2000-09-27 2005-04-12 International Business Machines Corporation Methods, systems and computer program products for smart card product management

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999019846A2 (en) * 1997-10-14 1999-04-22 Visa International Service Association Personalization of smart cards
US6880084B1 (en) * 2000-09-27 2005-04-12 International Business Machines Corporation Methods, systems and computer program products for smart card product management

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JOLIET C: "An integrated personalization workshop for smart cards", PROCEEDINGS OF THE ESCAT CONFERENCE, 4 September 1991 (1991-09-04), pages 99 - 108, XP002108140 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009039771A1 (en) * 2007-09-20 2009-04-02 China Unionpay Co., Ltd. Mobile payment terminal and payment method based on pki technology
CN111030824A (en) * 2019-11-29 2020-04-17 国核自仪系统工程有限公司 Industrial control device identification system, method, medium, and electronic device

Also Published As

Publication number Publication date
FR2898423B1 (en) 2008-04-18

Similar Documents

Publication Publication Date Title
EP3590223B1 (en) Integrated method and device for storing and sharing data
EP3547202B1 (en) Method for access to anonymised data
EP3547203A1 (en) Method and system for managing access to personal data by means of an intelligent contract
EP3665609B1 (en) Method and server for certifying an electronic document
WO2011117486A1 (en) Non-hierarchical infrastructure for the management of paired security keys of physical persons
EP1908215A1 (en) Method for controlling secure transactions using a single multiple dual-key device, corresponding physical device, system and computer programme
FR3058243A1 (en) METHOD FOR CONTROLLING IDENTITY OF A USER USING A PUBLIC DATABASE
EP2279581A1 (en) Method of secure broadcasting of digital data to an authorized third party
WO2019233951A1 (en) A software application and a computer server for authenticating the identity of a digital content creator and the integrity of the creator's published content
WO2007012583A1 (en) Method for controlling secure transactions using a single physical device, corresponding physical device, system and computer programme
EP3316549B1 (en) Method for verifying the identity of a user by means of a public database
FR3035248A1 (en) SECURE-OPERATING-ON-CHIP SYSTEM AND USES THEREOF
EP1794926A1 (en) Public key cryptographic method and system, certification server and memories adapted for said system
FR2834841A1 (en) CRYPTOGRAPHIC REVOCATION PROCESS USING A CHIP CARD
FR2898423A1 (en) Certified electronic signature generating device e.g. chip card, configuring method for e.g. computer, involves updating certificate to user upon reception of denomination and number by certificate producer so as to be used with device
CA2647239C (en) Process and server for access to an electronic safe via several entities
WO2012131175A1 (en) Non-hierarchical infrastructure for managing twin-security keys of physical persons or of elements (igcp/pki).
WO2017005644A1 (en) Method and system for controlling access to a service via a mobile media without a trusted intermediary
FR3007929A1 (en) METHOD FOR AUTHENTICATING A USER OF A MOBILE TERMINAL
WO2023194219A1 (en) Method for providing a trusted service for a birth certificate of an individual
WO2022184726A1 (en) Method for enabling users to deploy smart contracts in a blockchain using a deployment platform
FR3137769A1 (en) Process for saving sensitive personal data on a blockchain
FR2927750A1 (en) Electronic payment terminal e.g. chip card reader, for exchanging e.g. confidential data, over Internet network, has security module removing private key based on reception of alarm signal provided by intrusion detector
EP2911083A1 (en) Method to access data of at least a pyhiscal or moral person or of an object
WO2007028925A2 (en) Method for authenticating a user and device therefor

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20091130