WO2019129482A1 - Dispositif de personnalisation de document d'identite pour imprimante et imprimante le comprenant - Google Patents
Dispositif de personnalisation de document d'identite pour imprimante et imprimante le comprenant Download PDFInfo
- Publication number
- WO2019129482A1 WO2019129482A1 PCT/EP2018/084223 EP2018084223W WO2019129482A1 WO 2019129482 A1 WO2019129482 A1 WO 2019129482A1 EP 2018084223 W EP2018084223 W EP 2018084223W WO 2019129482 A1 WO2019129482 A1 WO 2019129482A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- data
- personalization
- module
- printer
- document
- Prior art date
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42D—BOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
- B42D25/00—Information-bearing cards or sheet-like structures characterised by identification or security features; Manufacture thereof
- B42D25/20—Information-bearing cards or sheet-like structures characterised by identification or security features; Manufacture thereof characterised by a particular use or purpose
- B42D25/23—Identity cards
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42D—BOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
- B42D25/00—Information-bearing cards or sheet-like structures characterised by identification or security features; Manufacture thereof
- B42D25/20—Information-bearing cards or sheet-like structures characterised by identification or security features; Manufacture thereof characterised by a particular use or purpose
- B42D25/24—Passports
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42D—BOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
- B42D25/00—Information-bearing cards or sheet-like structures characterised by identification or security features; Manufacture thereof
- B42D25/30—Identification or security features, e.g. for preventing forgery
- B42D25/305—Associated digital information
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42D—BOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
- B42D25/00—Information-bearing cards or sheet-like structures characterised by identification or security features; Manufacture thereof
- B42D25/30—Identification or security features, e.g. for preventing forgery
- B42D25/318—Signatures
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42D—BOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
- B42D25/00—Information-bearing cards or sheet-like structures characterised by identification or security features; Manufacture thereof
- B42D25/40—Manufacture
- B42D25/405—Marking
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42D—BOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
- B42D25/00—Information-bearing cards or sheet-like structures characterised by identification or security features; Manufacture thereof
- B42D25/40—Manufacture
- B42D25/48—Controlling the manufacturing process
- B42D25/485—Controlling the manufacturing process by electronic processing means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
- G06F21/608—Secure printing
Definitions
- the present invention relates to the field of identity / identification document (ID) printers, and in particular relates to an identity document personalization device for a printer and a printer comprising it.
- ID identity / identification document
- Identification documents are documents that contain personal identification information of the person holding the document.
- Identity documents such as cards (eg identity cards), such as booklets (eg machine-readable travel documents, passports), or such as source documents (eg, act extracts birth certificates, university degrees) are among the many types of printable identification documents that currently exist.
- cards eg identity cards
- booklets eg machine-readable travel documents, passports
- source documents eg, act extracts birth certificates, university degrees
- Electronic identity documents are documents that further include machine-readable data encoded in a microchip embedded in the card or in the passport booklet.
- Graphic personalization consists of printing the information of the document holder on the document (such as the name of the document holder, his date of birth, his nationality, the photo of his face or any other identifying information) as well as information from the document itself (such as the number document, its date of issue, its period of validity, the issuing authority of the document).
- Electronic personalization also consists of the electronic storage in the microchip (also known as encoding) of the graphically printed data on the document.
- the microchip may contain one or more biometric identification information of the individual carrying the document (for example, the face photo, its fingerprint (s), the characteristics of the retina or of the iris, the electronic structure of the cardholder's DNA).
- biometric identification information of the individual carrying the document for example, the face photo, its fingerprint (s), the characteristics of the retina or of the iris, the electronic structure of the cardholder's DNA.
- Protection mechanisms and cryptographic protocols are implemented in the microchip to protect electronically stored data, prevent unauthorized access, and ensure the integrity and authenticity of the data for later verification.
- a digital signature is used to ensure the integrity and authenticity of the document data.
- a digital signature can be printed as text and / or code (eg, bar code, QR code, 2D code) and / or as a code electronically encoded in the microchip in the case of electronic identity documents and / or in the form of a magnetic code, for example a magnetic code as defined by the ISO 7811 standard.
- the digital signature is a number, which number can be stored on different media (for example, electronic, magnetic, paper) in different formats (for example, numbers, combinations of letters).
- a digital signature is produced using cryptographic keys.
- Cryptographic keys are sensitive information that are generally protected by a secure key management system (or HSM for "Hardware Security Module” in English terminology). The protection of cryptographic keys by specialized hardware, resistant to attempted physical changes, ensures the protection of sensitive cryptographic data against unauthorized use.
- Digital certificates are used in combination with the digital signature during the digital signature verification process.
- identity document printers we can distinguish two main types of identity document printers: the appropriate high-speed industrial machine for the production of identity documents in large volumes; and the office printer (eg passport) suitable for small and medium volume production.
- the industrial printer at high speed equipment is usually designated as a "central" issue since the production of identity documents are centralized in one place.
- High speed equipment is usually a rather bulky equipment.
- the IDENTIFIER6000® model of Mülhbauer company is an example of high-speed industrial personalization equipment.
- Desktop printers are much less bulky equipment and can fit on an office table. Desktop printers are usually designated as transmitting equipment "instant" as the production of identity documents may be distributed (eg several production sites in separate places) and almost instantaneous. Desktop printers can be suitable for both centralized and decentralized broadcast.
- the Diletta800i® model from Diletta is an example of a desktop passport printer.
- the Primacy® model from Evolis is an example of a desktop card printer.
- microchip document identity micro memory chips and microprocessor microchips
- microchip memory is also known as the label or RFID card.
- Memory microchips do not have a file system, while microprocessor microchips integrate a microprocessor with memory as well as a file system.
- the microchip microprocessor usually integrates an operating system, the operating system is either said owner or said open when implementing a public specification such as a virtual machine type "Javacard” in accordance with the standards of GlobalPlatform®.
- Masktech's MTCOS® file system operating system is an example of a proprietary operating system in the field of identity documents.
- the JCOP® file system operating system from NXP / Qualcomm is an example of an open operating system in the field of identity documents.
- microchips Three types of physical interface can be distinguished for microchips: external contact microchips according to ISO / IEC7816, contactless microchips according to ISO / IEC14443 and microchips dual interface combining the two previously mentioned interfaces.
- the identification document may be an ID-1 ID micro-chip and external ID card or a ID3 ID3 passport or booklet in accordance with the International Civil Aviation Organization (ICAO) standard often referred to by the International Civil Aviation Organization (ICAO). its acronym ICAO) comprising such a microcontroller provided with contactless communication means disposed in the thickness of one of its sheets or cover.
- IAO International Civil Aviation Organization
- ICAO International Civil Aviation Organization
- Microchips for identity document applications operate at frequencies of 13.56MHz for distances of the order of a few centimeters.
- the operating system file of the microprocessor microchip must be initialized (for example, initialization of the number of folders and files, the size of each file, instantiation of the application or applications).
- Initializing the file system is a process also known as "electronic pre-customization.” This is a step that takes place before the electronic personalization of the identification document. Following the initialization of the file system of the microchip, it is only possible to customize the microchip with the knowledge of cryptographic keys referred to as "transport keys”.
- Electronic identity documents combine physical and electronic protection techniques to provide a significantly higher level of security than non-electronic documents. As a result, electronic documents are much more difficult to forge than non-electronic documents (such as non-electronic passports referred to as machine-readable travel documents).
- the infrastructure required to issue electronic identity documents requires additional and expensive components, including: a public key infrastructure (PKI), an electronic key management system, and a microchip personalization system.
- PKI public key infrastructure
- electronic key management system an electronic key management system
- microchip personalization system a microchip personalization system
- a non-electronic identity document issuance infrastructure is very similar to an electronic identity document issuance infrastructure except that it does not include the three components mentioned above.
- Some passport office printer manufacturers provide customization software with their equipment, for example CardPlus® for Diletta company.
- a first restriction is that these software allow only the graphic personalization and do not allow in particular the electronic personalization according to parts 9 to 11 of ICAO9303 standard of the ICAO.
- an existing printer Diletta company for example only integrates a transparent smart card reader that can not alone create a data structure, generate a signature of the data structure and establish a secure communication channel with the microchip to program the file system of the latter.
- Some manufacturers of industrial passport printers such as the Mühlbauer company can provide software capable of performing electrical customization in accordance with ICAO9303 ICAO.
- ICAO9303 ICAO a second restriction is that the latter requires specific development. Indeed, the software must be set to the configuration of the machine which is specific and different depending on the project. On the other hand, the software must also be adapted to the microchip embedded in the identity document.
- this software works only with the printer of the manufacturer also software publisher and is often dependent on an operating system.
- the Windows library (dll) for generating write commands in the microchip only works on WindowsXP® and not on WindowslO®.
- SDK software development kit
- Chip card printer manufacturers also provide software for personalization with their equipment, for example Cardpresso® for Evolis.
- Cardpresso® for Evolis.
- a third restriction is that these programs only allow the electrical customization of labels or RFID cards. Indeed, although some printers include so-called "electronic encoding" modules such as the Identive SCM3712® module, they are able to program micro memory chips of the MIFARE TM Classic® type but are not able to customize complex file structures of microchips, nor able to establish secure communication sessions with the microchip, nor able to digitally sign the data.
- issuing non-electronic identity documents is not compatible with the infrastructure for issuing electronic identity documents. Therefore, issuing electronic identity documents is synonymous in most the case of a complete replacement of the document issuing infrastructure with a more complex and costly infrastructure.
- the replacement of infrastructure represents a significant investment for small emerging and developing countries, forcing them to continue issuing non-electronic identity documents.
- the present invention aims to solve the disadvantages of the prior art by proposing an identity document personalization device integrated into a printer or connected to a printer.
- the personalization device according to the invention can be used as a universal printer accessory, allowing any ID document printer to generate digitally signed data that can be electronically programmed into an ID document chip. and / or may be printed as text and / or graphic code and / or magnetic code on the identity document.
- the present invention therefore relates to an identity document personalization device, characterized in that it comprises: a data transmission / reception interface configured to receive personalization data relating to an identity document; a data structuring module configured to structure the personalization data received; a digital signature generation module configured to digitally sign the structured personalization data using at least one cryptographic key; and an encoding module configured to encode signed structured personalization data on the identity document into at least one of text, graphic code, magnetic code and electronic code; the identity document personalization device further comprising a removable hardware security key configured to store sensitive configuration data of the personalization device; the personalization device of identity document being integrated in a printer or connected to a printer.
- the personalization data is not stored permanently in the personalization device of identity document, but erased after each use.
- the identity document personalization device according to the present invention can be used as a universal printer accessory, allowing any identity document printer to generate digitally signed data that can be electronically programmed into a chip of the identity document and / or which can be printed as text and / or graphic code and / or magnetic code on the identity document.
- the advantage of storing the signature in two forms (electronic and graphic code for example) ensures that the signature is verifiable, even if the chip is damaged and illegible.
- the identity document personalization device makes it possible to transform a "conventional" printer into an "intelligent” printer capable of organizing and digitally signing electronic data and thus of customizing an electronic identification document (for example and encoding them into a complex file structure of a microchip) and / or generating an electronic signature in the form of text and / or printable code and / or magnetic code.
- the personalization device can implement standardized hardware and software protocols and / or interfaces, such as PKCS # 11, ICAO9303, CCID, PC / SC, WebSocket, SSL, IS07816, JSON and / or XML, which facilitate integration with a large number of custom graphics software, a large number of HSMs and a large number of printers.
- PKCS # 11, ICAO9303, CCID, PC / SC, WebSocket, SSL, IS07816, JSON and / or XML which facilitate integration with a large number of custom graphics software, a large number of HSMs and a large number of printers.
- the personalization device can either be integrated into the printer or portable and connected to the printer.
- the personalization device processes the personalization data received using the data structuring module, digitally signs the structured personalization data using the signature generation module, and then writes the data of structured personalization signed in the microchip of the identity document and / or transmits the structured personalization data signed in the form of text and / or printable code and / or magnetic code using the encoding module.
- the removable hardware security key also known as a "dongle" in English terminology, stores the sensitive configuration data of the personalization device, makes it possible to secure the personalization device, the latter being unable to function when is not connected to said security key.
- the security key is preferably in removable mini USB format.
- the encoding module when the signed structured personalization data is coded as text, graphic code or magnetic code, the encoding module is configured to send the coded signed personalized personalization data to the printer via the data transceiver interface.
- the coded signature structured personalization data may be sent to the printer via a workstation to which the coding module and the printer are connected.
- the printer can print the coded signature personalized personalization data, such as text, graphic code and / or magnetic code, on the identity document once it has received them.
- coded signature personalized personalization data such as text, graphic code and / or magnetic code
- the printer can be directly connected to the device's data transceiver interface customization or connected to it through a workstation connected to both the printer and the data transmission-reception interface of the personalization device.
- the personalization device when the signed structured personalization data is coded in the form of an electronic code, the personalization device furthermore comprises at least one smart card reader capable of communicating with the electronic chip of a document an electronic chip type identity, said at least one smart card reader being integrated in the printer or connected to the printer, the encoding module being configured to send the coded signed personalized personalization data to the printer; at least one smart card reader that is configured to encode the electronic chip of the identity document based on the signed encrypted structured personalization data received.
- the encoding module is responsible for encoding and sending customization application data unit (APDU) commands to the smart card reader which then sends them to the microchip of the electronic identity document. . It can be connected to one or more embedded smart card readers or not in the printer.
- the encoding module is thus able to establish a secure communication session with the smart card.
- the secure connection is established according to a mutual authentication protocol defined by the ICAO, BSI or GlobalPlatform standards (in the case of a javacard).
- the device according to the invention thus differs from existing products that can encode RFID tags and tags, but can not establish a complex secure communication session with a smart card. It should be noted that the steps of electronic personalization and graphic personalization of the identity document can be carried out either separately or simultaneously.
- the at least one smart card reader is of the non-contact type.
- the at least one smart card reader could also be in contact or both contact and non-contact, without departing from the scope of the present invention.
- the personalization device further comprises a hardware security module, HSM, removable in which is stored the at least one cryptographic key used by the digital signature generation module.
- HSM hardware security module
- the digital signature generation module is responsible for digitally signing the customization data structured by the data structuring module (such as the EF.SOD file for ICAO9303-compliant documents) that must be stored in the microphone. chip embedded in the electronic identity document. Cryptographic keys used for signing personalization data are protected from hardware or software by the HSM that implements a standard interface such as the PKCS # 11 cryptographic interface. PKCS # 11 customization device support enables easy integration with a large number of HSMs such as smart card, PCI card or network equipment.
- the HSM can typically be implemented by a chip-based HSM having a small footprint, such as a key. Removable mini USB format compliant with PKCS # 11.
- the HSM can be implemented by a PCI card ("Peripheral Component Interconnect”), an HSM network or smart card-based HSM compliant with PKCS # 11.
- PCI card Peripheral Component Interconnect
- the personalization appliance implements a standard cryptographic interface (eg PKCS # 11)
- PKCS # 11 a large number of HSMs such as smart card-based HSMs, PCI-interface HSMs, or network-based HSMs can interfere with the personalization device.
- the invention follows established industry best practices including the use of HSM to protect private cryptographic keys. It should be noted that a purely software implementation of the HSM is, although less recommended, also possible.
- the at least one cryptographic key used by the digital signature generation module is stored on a remote server in communication with the data transmission / reception interface.
- the configuration sensitive data stored in the hardware security key are one of at least one transport key, at least part of the source code of the various modules of the personalization device, an incremental / decremental counter, and, if applicable, a PIN code for to activate the HSM.
- a transport key is a key for writing in the microchip of an electronic identity document. Without the knowledge of this key, it is impossible to write data into the microchip.
- the sensitive data may also include a counter value for limiting the number of uses of the personalization device.
- the personalization device further comprises a secure storage module connected to the hardware security key.
- the secure storage module can securely store the sensitive data protected by the hardware security key.
- the personalization device further comprises a coordination module configured to manage the transfer of the data received via the transceiver interface to the various modules of the personalization device.
- the coordination module is responsible for coordinating the different modules and for transferring data from the data transmission / reception interface to the appropriate modules and vice versa.
- the data structuring module is Configured to structure the personalization data received according to the ICAO9303 standard of the International Civil Aviation Organization.
- the data structuring consists in preparing the personalization data in the form of a logical data structure ("Logical Data Structure") of the ICAO9303 standard of the ICAO.
- the logical data structure corresponds to the file structure of the electronic data to conform to ICAO9303 specifications in the case of electronic passports and / or national identity cards.
- the SDL can be stored in the microchip of the electronic passport and / or the national identity card and / or encoded in the form of a visible digital seal (VDS, "Visible Digital Seal") according to the English language.
- VDS visible digital seal
- the data structuring module is responsible for organizing the customization data according to the ICAO9303 logical data structure standard and / or ISO / IEC 18013-2: 2008 and / or Europay MasterCard Visa (EMV) standard. for the security of payment cards (smart cards).
- EMV Europay MasterCard Visa
- the data transmission / reception interface is able to communicate, in wireless or wired connection, with a workstation via a standardized communication protocol in real time. , of type WebSocket.
- the personalization device can be connected to the workstation via a wired network cable (for example, Ethernet) or wirelessly (for example, WIFI).
- the communication between the workstation and the personalization device is established by the standard communication protocol such as WebSocket / SSL.
- the personalization device obtains personalization data related to a holder holder of the identity document in a standard format as encoded in Base64 and structured in XML, JSON by a standard WebSocket / SSL communication means.
- the WebSocket interface is used to separate the business application (that is, the ICAO9303 software stack that creates the ICAO9303 compliant file structure, digitally signs the data, and writes the data to the document chip) of the graphical interface.
- the personalization appliance implements a standard WebSocket network communication interface, it can easily be integrated and connected with virtually any software written in any programming language.
- a simple script written in any programming language eg, C, Python, Java, VB
- the workstation can make the personalization device compatible with virtually any database (e.g. MS Access, MySQL, Oracle) and with virtually every graphic personalization software (for example, CardPresso®).
- the smart card reader is connected to the encoding module via at least one of a USB interface CCID and a PC / SC interface.
- the personalization device since the personalization device implements a standardized CCID or PC / SC interface, it can be linked to a large number of smart card readers, making it compatible with all currently available ID document printers. on the market. If the printer does not include a smart card reader, the personalization device can be used with a standalone smart card reader.
- the various modules of the personalization device are implemented in a mini-computer.
- the device according to the invention can also be a programmed apparatus.
- the instructions of the program (s) implementing the invention may, for example, be implemented in a programmable or specific integrated circuit (English Application Specifies Integrated Circuit, ASIC).
- the mini-computer (SBC, "Single Board Computer” in English terminology) is a cost-effective and efficient solution for implementing the software modules of the personalization device.
- the SBC is able to execute the code needed to prepare the logical data structure of the ICAO9303 standard.
- the SBC is able to execute the code to encode a microcontroller card and encode the file system of the electronic identity document chip.
- the SBC preferably integrates Ethernet, Wifi, RTC, USB and a processor used to run a high-level operating system, such as Linux®, and a hardware-independent code, such as Java.
- the personalization device furthermore comprises at least one input / output port for a connection with at least one peripheral device, such as a relay, a sensor, a camera or a scanner in order to acquire a unique value from the document - personalization data is never stored permanently in the device but deleted after each use.
- at least one peripheral device such as a relay, a sensor, a camera or a scanner
- a non-clonable physical value of the document is stored in the data structure and serves as a component of at least one of the digital signatures.
- a removable or software-based physical cryptographic circuit protects the electronic data used to unlock said digital signature generation module and / or protects the transport key (s) making it possible to establish the encrypted communication session. with the microchip.
- Each network interface may be a wired or wireless network interface for accessing a remote database for requesting and / or obtaining data.
- the implemented communications protocols may be real-time standard communication protocols.
- Communications can be encrypted by a cryptographic algorithm.
- At least one of the secure communication session keys can be established from a mutual authentication protocol.
- Each module can be run on a 32-bit or 64-bit RISC or CISC or ASIC architecture microcontroller running a high-level operating system providing support for several multi-threaded processes in English terminology such as example Linux® or Windows®.
- the cryptographic circuits may be removable physical circuits and / or implemented by the device itself and / or deported over the network.
- the encoding module may analyze and execute an electronic pre-personalization script consisting of a sequence of APDU packets stored by the data storage module to initialize the file system structure of the microchip.
- the data storage module can protect at least one PIN used to activate the digital signature generation module, one or more transport keys used to write protect the microchip of the document to be personalized, part or all of the code source of the modules constituting the device, an incremental or decremental counter limiting the number of use of the device.
- the encoding module can detect by reading the response to the reset and / or by the response to the selection command of the microchip elementary files at least one of the following information:
- the digital signature generation module and / or the data structuring module and / or the encoding module can run on the same processing unit to optimize the personalization of the microchip.
- the personalization of the microchip can also be optimized by butfering the electric pre-personalization script in said encoding module.
- Modules can securely erase received and generated data by overwriting it with constant values.
- the device can test the presence of at least one of said removable modules before each use of said device.
- the modules can be executed not deported on the network.
- the modules can be implemented in at least one programming language such as for example the C, C ++ or Java language.
- At least one of said modules can run on a programmable gate array (FPGA).
- FPGA programmable gate array
- the device can be connected to several card readers.
- the secure data storage module may include a counter limiting the number of uses of said device.
- the present invention also relates to a printer comprising an identity document personalization device as described above.
- FIGS. 1A to 1E respectively illustrate five different variants of identity document production environment system architecture comprising an identity document personalization device according to the present invention
- FIGS. 2A to 2C respectively illustrate three different variants of the housing of the personalization device of identity document according to the present invention
- FIG. 3A shows a functional view of the personalization device of identity document according to the invention which illustrates the interaction between its different modules
- FIG. 3B represents a sequential diagram illustrating an example of possible interactions between the different modules of the personalization device of identity document according to the present invention
- FIG. 4 represents a data flow diagram illustrating an example of data processing by the personalization device of identity document according to the invention
- FIGS. 5A and 5B show functional diagrams of the personalization device of identity document according to the invention.
- FIG. 6 represents a flowchart illustrating an example of processing the main commands by the personalization device of the identity document according to the invention
- Figure 7 shows a high level functional diagram of the personalization device of identity document according to the invention. Referring to FIGS. 1A-1E, it can be seen that there are shown five different variants of identity document production environment system architecture including an ID document personalization device 104 according to the present invention
- Figure IA illustrates a first variant of implementation of the invention in an identity document production environment.
- This first variant is the most simple variant in which the transmission (instantaneous or not) identity document is performed with the so-called offline digital signature generation.
- the data of the holder of the identity document are stored for example in a local database 103.
- a workstation 101 executing graphic personalization software and capable of holding the local database 103, is connected to a desktop printer 111 for secure identity documents (such as passports, booklets, diplomaticzierz-passer). , temporary travel documents, national identity cards or other government identification documents, driving licenses, registration cards, security badges, foreign residency cards, voting cards , health cards, student card, identification booklets marine, military booklets, etc.) via a serial or network connection 112.
- identity document personalization device 104 via a network connection 106 (for example, wired Ethernet link or WIFI wireless link).
- the personalization device 104 is further connected to a smart card reader 105 via a serial connection 107 (for example, USB, UART, SPI or I2C).
- a serial connection 107 for example, USB, UART, SPI or I2C.
- the smart card reader 105 may or may not be integrated in the printer 111.
- the personalization device 104 may be connected to a hardware security module (HSM) 109 and / or to a hardware protection key 114.
- HSM hardware security module
- An identity document incorporating a microchip 108 is inserted in the office printer 111 or placed on the smart card reader 105 during the electronic personalization.
- the workstation 101 executes the graphical personalization software that communicates directly with the printer 111 for the graphic customization of the document 108.
- the personalization software also executes software or a script that transfers the appropriate electronic data to the personalization device 104 in the personalization device 104.
- a standardized format such as XML, JSON or Base64.
- the personalization device 104 deals entirely with the electronic personalization of the document 108 consisting of: the preparation of the logical data structure (SDL) to be written in the file structure of the microchip of the document 108, the digital signature of the data and the encoding of the data in the microchip of the document 108.
- SDL logical data structure
- the personalization device 104 produced and returns to the workstation 101 the personalization data structured and signed in the form of text and / or printable code.
- the workstation 101 is thus connected on the one hand to the personalization device 104 for the electronic personalization of the document 108 and on the other hand to the printer 111 for the graphic personalization of the document 108.
- the sensitive cryptographic data (for example, the sensitive key or keys used to digitally sign the electronic data which are then encoded in the microchip of the electronic document 108 and / or encoded as text and / or printable code and / or magnetic code) are stored and protected by the local HSM 109 which can be a smart card based HSM or any HSM that implements or not the standard PKCS # 11 interface.
- the HSM 109 provides a secure means for securely generating and storing the private signing keys, for example by storing the key in an encrypted form, unlike a storage software solution in which the private key is available in clear form. memory, making it vulnerable to different attacks.
- the private key used to digitally sign certificates can sometimes never be retrievable from the HSM 109.
- the protection of the private key by the HSM 109 provides increased protection against the unauthorized establishment of fraudulent certificates. Thanks to the use of the HSM 109, all sensitive keys are protected by an unalterable module.
- FIG. 1 illustrates a second variant of an "on-line" identity document production environment.
- the workstation 101 is further connected to a server with HSM 113 remote on the network protecting the sensitive cryptographic keys, via a communication network 115 (for example, Intranet or Internet).
- a communication network 115 for example, Intranet or Internet.
- the document transmission is decentralized in the sense that the workstation 101 can be located in a different location of the server with HSM 113 which is remote on the network so online.
- the public key infrastructure is called "centralized" and, whenever an electronic document 108 is produced, the digital signature is calculated in a centralized manner.
- the centralized HSM 113 remote on the network, can be implemented for example by a PCI card, a network card or smart card based.
- SSL Secure Socket Layer
- the work station 101 also serves as a registration station (enrollment software with a camera, a data acquisition module). paper signature, fingerprint sensor, etc.).
- the secure identity document 108 can be issued in just a few minutes.
- Figure IC illustrates a third variant of a so-called "centralized" identity document production environment.
- a high speed industrial machine type printer 117 is used instead of a desktop printer 111.
- the workstation 101 is connected to the personalization device 104, itself connected to a smart card reader 105 integrated into the high-speed industrial machine type printer 117.
- the personalization device 104 may also be connected to various sensors and peripherals (not shown in Figure IC) such as relays, presence detectors, light-emitting diodes, buttons, motors, cameras and / or scanners integrated into the industrial machine with large speed 117.
- the personalization device 104 is connected, via an input / output port 118, either directly to the sensors of the industrial printer 117 or indirectly, as illustrated in FIG. 1C, via an industrial programmable logic controller 116 (FIG. "Programmable Logic Controller", PLC, according to the English terminology).
- an industrial programmable logic controller 116 FIG. "Programmable Logic Controller", PLC, according to the English terminology.
- Figure 1D illustrates a fourth variant of a production environment for different types of identity documents such as passports and identity cards.
- the personalization device 104 is further connected to a second smart card reader 105 which is integrated in a smart card printer 119.
- the personalization device 104 is used to simultaneously and simultaneously customize two different types of identity documents such as passports and electronic ID cards.
- Figure 1E illustrates a fifth variant of a source document production environment such as certificates of civil status and / or diplomas, called "online signature”.
- Two workstations 101 and 102 are connected to the personalization device 104 via a communication network 115 consisting for example of a router 123 and a WIFI access terminal 124.
- the workstation 101 is connected to the network 115 by wired connection while the workstation 102 is connected to the network 115 wirelessly.
- the personalization device 104 is connected to the access terminal 124 wirelessly.
- a removable protection key 114 is connected to the personalization device 104.
- the personalization device 104 either is integrated directly without a housing into a conventional printer 121, or is protected by a housing and is affixed to the conventional printer 121 as shown in FIG. Figure 1E.
- the conventional printer 121 is connected to the access terminal 124 wirelessly.
- the personalization device 104 is further connected to a server with HSM 113 remote on the network 115 protecting the sensitive cryptographic keys for the generation of the digital signature or signatures.
- the data of the document to be certified is sent to the personalization device 104 through the communication network 115.
- the personalization device 104 organizes the electronic data according to the ICAO VDS standard, electronically signs the data using the HSM 113 remote on the network 115 and returns the code VDS to the station of Work 101 and / or 102 for graphic printing on the document by the printer 121.
- FIGs. 2A-2C it will be seen that there are shown three different variants of housing 200 of the ID document personalization device 104 according to the present invention.
- the housing 200 may include one or more USB ports 202, one or more Ethernet ports 201, one or more 204 external memory slots 204a (such as a Micro SD memory card), a connector for a power supply 203, one or several light indicators 207 (such as light-emitting diodes) to indicate the operating state of the device 104 (for example, green color for "Ready”, red color for "Error” and orange color for "Processing in progress"), as well as a connector for input / output ports (not shown in Figures 2A-2C).
- the smart card reader (s) 105 can be connected to the USB ports 202.
- the workstation 101, 102 can be connected to the Ethernet port 201.
- One or more cryptographic circuits can be connected to the USB ports 202, such as the hardware security key 114 in the form of a mini USB key and the smart card-based HSM 109 in the form of a mini-USB key.
- the housing 200 may also include rubbers 208, 210 for protecting the casing 200 from the falls, mechanisms such as ducts 206 for ventilating the casing 200, a security lock 205 for a security cable, and a button 214 for setting the personalization device 104 under tension.
- the housing 200 may be metal and / or shielded and / or plastic.
- the personalization device 104 is thus a mobile and universal embedded system that can be integrated in or connected to any type of printers such as industrial printers or desktop printers.
- FIG. 3A it can be seen that there is shown a functional view of the personalization device 104 which illustrates the interaction between the various hardware and software components thereof.
- the personalization device 104 comprises five main modules: a coordination module 330, a data structuring module 331, a signature generation module 332, an encoding module 333 and a secure storage module 339.
- the personalization device 104 further comprises five main interfaces: a data transmission-reception interface (designated INT_ACQ) 340, an HSM interface (designated INT_HSM) 342, a smart card reader interface (designated INT_RD) 343 , an input / output interface (designated INT_IO) 344 connected to an input / output adapter 334, and a security key interface (designated INT_DONGLE) 349.
- a data transmission-reception interface designated INT_ACQ
- HSM designated INT_HSM
- INT_RD smart card reader interface
- INT_IO input / output interface
- INT_DONGLE security key interface
- the coordination module 330 is responsible for coordinating the different modules 331, 332, 333, 334, 339 and for sending the data received and / or acquired from the workstation 101 via the interface INT_ACQ 340 to the appropriate modules 331, 332, 333, 334, 339.
- the coordination module 330 comprises an internal interface (designated INT_COR_CLT) 350 respectively connected to an internal interface (designated INT_STR_SVR) 351 of the data structuring module 331, to an internal interface (designated INT_SIG_SVR) 352 of the generation module signature 33), to an internal interface (designated INT_ENC_SVR) 353 of the encoding module 333, to the input / output adapter 334 and to an internal interface (designated INT_T0_SVR) of the secure storage module 339.
- the server interfaces ( INT_SVR) and the client interface (INT_CLT) make it possible to run the modules as micro-services, possibly remote on the network.
- the data structuring module 331 is responsible for creating, from the personalization data received, a logical data structure (SDL) according to the ICAO9303 standard of the data to be stored in the microchip of an electronic identity document and / or to encode as text and / or printable code.
- SDL logical data structure
- the signature generation module 332 is responsible for digitally signing the logical data structure (SDL) created by the data structuring module 331 according to the ICAO9303 standard.
- the cryptographic key used for the digital signature is protected by the HSM 335 cryptographic key protection module connected to the signature generation module 332 by the INT_HSM interface 342.
- the personalization device 104 can implement a standard cryptographic interface, such as PKCS # 11, to facilitate the integration of different types of HSM hardware and / or software modules.
- the HSM 335 can be implemented by a compact card-based HSM-based HSM, such as a USB mini-USB flash drive, for greater mobility. device 104.
- the HSM 335 can be implemented by any what kind of hardware, such as a HSM LAN or smart card-based, or software.
- the encoding module 333 is responsible for establishing the secure communication by mutual authentication protocol, for example by establishing a secure session using the transport key (s) following mutual authentication according to the ICAO903 standard. and BSI TR 03-137, with the microchip of the identity document and send the APDU commands according to the ISO / IEC 7816 standard of personalization to the microchip of the electronic identity document, the encoding module 333 being connected by the INT_RD interface 343 to the smart card reader 105 to contact / contactless and / or dual interface autonomous or embedded in a printer; and / or encode the logical data structure (SDL) containing at least one signature as a VDS code.
- SDL logical data structure
- the personalization device 104 may be connected by the INT_IO interface 344 to various peripherals such as a relay 338, a sensor 337, a camera and / or a scanner 336.
- the secure storage module 339 is responsible for storing the sensitive configuration information of the personalization device 104 in an encrypted manner so as to ensure the confidentiality thereof, said sensitive information being able to be the transport key or keys, the sensitive source code of the software, or the PIN code to unlock the HSM 335.
- the cryptographic key used for the encryption of data by the secure storage module 339 can be protected by a hardware protection key 370 connected to the secure storage module 339 by the interface INT_DONGLE 349.
- the hardware protection key 370 can also store in its secure memory all or part of the sensitive information parameterizing the personalization device 104.
- FIG. 3B it can be seen that there is shown a sequential diagram which illustrates an example of possible interactions between the different modules of the personalization device 104.
- the coordination module 330 is the module to which all the other modules of the personalization device 104 are connected.
- the flow chart of Figure 3B illustrates a possible example of electronic customization with a high speed industrial printer 117, for which a presence sensor 337 detects the arrival of a document.
- the personalization device 104 retrieves the unique identifier (UID) of the document, such as the unique number of the document or the unique number of the microchip of the document, via a sensor (such as a camera 336). or a smart card reader 105) and transfers this information to the workstation 101.
- the workstation 101 then returns to the personalization device 104 the data of the document holder to be electronically customized in the microchip and / or for the encoding text and / or printable code.
- UID unique identifier
- the personalization device 104 then performs the complete electronic personalization of the document consisting of the creation of the logical data structure to be written into the file structure of the microchip, the digital signature of the data and the writing of the data in the micro-computer. chip and / or returns it to the workstation 101 of the signed data structure in the form of text and / or printable code.
- the block diagram of Figure 3B illustrates an exemplary use of electronic customization case consisting of twenty elementary steps which are as follows:
- the sensor 337 detects the presence of a document 303 and informs the coordination module 330 thereof;
- the coordination module 330 sends the information 304 to the workstation 101; Since the WebSocket protocol is bidirectional, the coordination module, although it implements the server part of the protocol, can initiate the communication with the client (the workstation). If the protocol had not been bidirectional, the communication would have been possible only at the initiative of the client;
- the workstation 101 requests 305 from the coordination module 330 to retrieve the unique identifier (ID) of the document;
- the coordination module 330 transfers the request to the module managing the camera 336; the coordination module 330 could also recover the unique identifier of the document via a device other than the camera 336, for example by means of a smart card reader 105;
- the camera 336 reads 307 the unique identifier (UID) of the document and returns it to the coordination module 330;
- the coordination module 330 transmits the UID to the workstation 101; it should be noted that although the steps 303-308 are triggered by the sensor 337, the workstation 101 could also directly trigger the request to retrieve the UID of the document; the workstation 101 transfers to the coordination module 330 the complete data for personalization, such as the identifier of the key for the digital signature, the characteristics of the document, the document data and / or the encoding characteristics. ;
- the coordination module 330 sends 310 the data, transformed or otherwise, to the data structuring module 331;
- the data structuring module 331 structures the data 311 and returns them to the coordination module 330;
- the coordination module 330 sends the data 312, transformed or not, to the signature generation module 332; the coordination module 330 is also able to retrieve information such as the PIN code in order to unblock the HSM 335 from the protection key 370;
- the signature generation module 332 prepares a digital certificate 313 and requests the cryptographic module, such as the HSM 335, to digitally sign the latter;
- the HSM 335 cryptographic module which protects the sensitive cryptographic keys, calculates the digital signature 314 and returns the result to the signature generation module 332;
- the signature generation module 332 sends back 315 the signed data to the coordination module 330; the coordination module 330 could also send the signed data back to the workstation 101 at this stage, which may be of interest if the workstation 101 wishes to prepare the data signed in advance for reasons for improving performance, the coordination module 330 could then, in this event, receive from the workstation 101 already prepared and signed data to transfer directly to the encoding module 333;
- the coordination module 330 sends 316 the data, transformed or otherwise, to the encoding module 333; the coordination module 330 could also retrieve information, such as the transport key or keys, from the protection key 370;
- the encoding module 333 sends the data 317 to the smart card reader 105 and / or encodes the data in the form of text and / or printable code;
- the smart card reader 105 writes 318 the data in the file system of the microchip of the document 108;
- the microchip of the document 108 returns 319 the status of the encoding of the microchip to the smart card reader 105;
- the smart card reader 105 returns 320 the status of the encoding of the microchip to the encoding module 333;
- the encoding module 333 returns 321 the status of the encoding of the microchip to the coordination module 330 and / or returns the printable code to the coordination module 330 in the case of a generation of a text and / or printable code;
- the coordination module 330 returns 322 the status of the encoding to the workstation 101 in the case of the encoding of the microchip and / or returns the text and / or the printable code to the workstation 101; the coordination module 330 can, via the input / output adapter, activate any device, such as a relay or indicator light, in case an error occurs.
- FIG. 4 it can be seen that there is shown a data flow diagram showing an example of data flow and its processing by the personalization device 104.
- the data received from the workstation 101 (designated input data) is first structured by the data structuring module 331, then digitally signed by the signature generation module 332 and finally encoded in the microchip and / or in the form of text and / or printable code (designated output data 409) by the encoding module 333.
- Each of the data structuring module 331, the signature generation module 332 and the encoding module 333 includes an audit log 406, 408, 410.
- the input data is transferred in a standardized form by a standard communication protocol, such as WebSocket, by the workstation 101 to the personalization device 104.
- It contains the information of the document holder (such as the name of the carrier of the document, date of birth, nationality, photo of his face and / or any other identification information) as well as the information of the document itself (such as its unique number, date of issue, duration of validity, the issuing authority) and may contain one or more biometric data of the individual carrying the document (for example, his portrait, his fingerprint (s), the characteristics of the retina or the iris), designated by the name "data" 403 that is sent to the data structuring module 331.
- biometric data for example, his portrait, his fingerprint (s), the characteristics of the retina or the iris
- the input data can also be contain information on the cryptographic mechanisms and protocols implemented by the microchip to protect the electronically stored data in the microchip and to prevent unauthorized access, as well as to verify its integrity and authenticity (such as information on Active Authentication (AA), Extended Access Control (EAC), Additional Access Control (ASC), Issuer Country Certificate (CVCA), in the event of an ICAO9303 compliant document) referred to as "specific data structuring data" 402 that is sent to the data structuring module 331.
- AA Active Authentication
- EAC Extended Access Control
- ASC Additional Access Control
- CVCA Issuer Country Certificate
- the output data of the data structuring module 331 is the unsigned structured data 405, such as an unsigned SDL structure in the case of a document conforming to ICAO9303 and / or ISO18013. These unsigned structured data 405 are used as input data for the signature generation module
- the signature generation module 332 also takes as input data the information on the parameters of the digital signature (such as the cryptographic key identifier and the digital signature algorithm, the PIN code to unlock the HSM 335). This data is referred to as "signature module specific data" 401.
- the output data 407 of the signature generation module 332 is structured and signed and is ready to be encoded in a microchip and / or text and / or printable code.
- Structured and signed data 407 is used as input data for the encoder module
- the encoding module 333 also takes as input information about the microchip (such as the transport key (s), microchip manufacturer, operating system version, scripts, slot number of the smart card reader), designated by the name of "encoding module specific data" 404, for electronically programming the microchip and / or calculating a text and / or a printable code.
- the microchip such as the transport key (s), microchip manufacturer, operating system version, scripts, slot number of the smart card reader
- the personalization device 104 is designed such that each module 331, 332, 333 does not keep information on its previous state nor the previously processed information, meaning that each module 331, 332, 333 receives as input data: the data to be processed as well as the data configuring the behavior of the module itself. Each module 331, 332, 333 does not keep its previous state. This property makes it possible to use the same personalization device 104 to produce different types of documents (for example both national identity cards and electronic passports).
- FIG. 5A it can be seen that there is shown a block diagram of a personalization device ID document 500 according to the invention.
- a workstation 101 is connected to the personalization device 500 via a network connection 503 and a network input / output (I / O) adapter 502, such as a wired Ethernet-type network connection. a wireless network connection type WiFi.
- the communication protocol between the workstation 101 and the personalization device 500 is realized via a network communication stack 509 which can be implemented in a coordination module 510.
- the network communication stack 509 implements a protocol standard communication, such as real-time, bidirectional, full-duplex, with little overhead, secure, and standard, referred to as secure WebSocket with TLS / SSL or any other standardized protocol such as a message broker .
- the personalization device 500 is characterized in that the electronic personalization business logic is completely separate from the graphical user interface (GUI) of the graphical personalization software running on the workstation 101.
- GUI graphical user interface
- standard transmission protocol between the workstation 101 and the personalization device 500 makes it possible to separate the business logic from the GUI.
- the use of a standardized protocol makes it easy to interface any graphic personalization software with the personalization device 500.
- the standard protocols are implemented in a multitude of programming languages and in particular the most known as C, Java, C ++, Javascript and Python languages. Therefore, since the graphical personalization software is developed in a programming language, it is possible either to integrate the standardized protocol directly into the graphic customization software by specific development or via a script (such as Javascript or Python).
- the coordination module 510 implements a data parser stack 511 (such as the XML, JSON, or Base64 markup languages), allowing the exchange of text-based data, not dependent on the hardware and / or systems. operating.
- a secure storage module 514 is implemented by a cryptographic circuit also referred to as protection key 520, said protection key 520 being connected to the secure storage module 514 via a serial / network adapter 505.
- the secure storage module 514 contains sensitive data, such as the source code of the software, and / or configuration setting data, such as the PIN code to unblock HSM 519 and / or configuration data such as digital signature specific data, data preparation specific data and / or data of encoding and / or specific encoding scripts of a microchip.
- the personalization device 500 is characterized in that it may not be functional without the physical or logical presence of the protection key 520 protecting the secure storage module 514.
- the personalization device 500 also includes a data structuring module 517 configured to structure the personalization data from the coordination module 510.
- the personalization device 500 further comprises a signature generation module 512 which is connected to a digital signature cryptographic circuit also referred to as hardware security module (HSM) 519, said HSM 519 being connected to the generation module. signature 512 via a serial / network adapter 504.
- HSM 519 digital signature cryptographic circuit is implemented by unalterable hardware (such as a smart card-based HSM) directly connected to the personalization device 500, but it could also be deported to other appropriate locations in the document generation environment.
- the HSM 519 digital signature cryptographic circuit could be accessible through the network, such as through a virtual private network (VPN) for example.
- the HSM 519 digital signature cryptographic circuit could also be implemented by software.
- the HSM 519 digital signature cryptographic circuit provides a secure location for producing and storing the digital signature sensitive cryptographic key (s) stored in encrypted or unencrypted form.
- the cryptographic key used to sign data may also not be extractable from the HSM 519.
- the signature generation module 512 and the HSM 519 implement a programming interface (API, "Application Programming Interface” in cryptographic terminology), respectively 513 and 521, such as PKCS # 11.
- API Application Programming Interface
- the personalization device 500 is characterized by the fact that it can not produce a digital signature without the physical or logical presence of the protection key 520.
- the personalization device 500 further comprises an encoding module 518 which implements a script parser module 516.
- the script parser module 516 can implement the possibility of executing pre-customization scripts used for the initializing the microchip file structure of an identity document 525 before customizing it.
- the script parser module 516 can, therefore, optimize the industrial process of personalizing the microchip by removing the pre-personalization step of the microchip.
- a smart card reader 527 is connected to the encoding module 518 via a serial adapter 526, the smart card reader 527 for programming the microchip of the identity document 525.
- a camera 524 may be connected to the personalization device 500 via a serial / network adapter 528.
- the personalization device 500 further comprises a central processing unit (CPU) 508 which can implement a CISC architecture (complex instruction set computing), or RISC (computer to reduced instruction set, "Reduced Instruction Set Computer”, in English terminology).
- CPU central processing unit
- CISC complex instruction set computing
- RISC computer to reduced instruction set, "Reduced Instruction Set Computer”, in English terminology.
- a single-board computer (sometimes abbreviated to SBC) as the UP Board is an example of a CISC architecture processing unit.
- a single-board computer such as the Raspberry Pi 3® is an example of a RISC architecture processing unit.
- the personalization device 500 further comprises a real-time clock 507 with a battery, the real-time clock 507 being implemented in particular for time stamping the different logs of the different modules.
- the personalization device 500 also comprises an input-output adapter 506, peripheral input / output devices 523, such as relays, light-emitting diodes, buttons or a presence detector 515, which can be connected either directly to the input-output adapter 506 is via a programmable controller (PLC) (not shown in Figure 5A).
- PLC programmable controller
- the communication 522 between the different modules can be performed by a simple interface of application programming (API) or a network communication stack.
- API application programming
- the advantage of the latter is that it makes it possible to communicate different modules programmed in different programming languages (for example, the signature generation module 512 can be programmed in the C language while the rest of the modules can be programmed in JAVA language) and / or that it makes it possible to execute certain remote modules on the network (for example, the signature generation module 512 could be executed on a remote server of the network).
- Each module then becomes a "micro-service" that can run remotely on the network.
- the personalization device 500 is electrically powered by a power source 501.
- FIG. 5B it can be seen that there is shown an additional block diagram of the personalization device 500 completing that of Figure 5A.
- the personalization device 500 implements a high-level 530 operating system (OS), such as UNIX, Windows, Mac OS, or GNU / Linux.
- OS operating system
- the different modules of the personalization device 500 can be implemented as native applications 528 (for example, programmed in C language) comprising the data structuring module 517a, the signature generation module 512a with its cryptographic stack 513a, the coordination module 510a with its network communication stack 509a and its data parser stack 511a, the encoding module 518a with its script parser module 516a and a cryptographic module 536.
- native applications 528 for example, programmed in C language
- the different modules of the personalization device 500 can also be implemented as 539 portable applications (applets), executing on a virtual machine 531 such as a Java virtual machine, comprising the data structuring module 517b, the signature generation module 512b with its cryptographic stack 513b, the coordination module 510b with its network communication stack 509b and its data parser stack 511b and the encoder module 518b with its script parser module 516b.
- a virtual machine 531 such as a Java virtual machine
- the advantage of the latter approach is that the modules can then run on any hardware platform provided that the virtual machine 531 is implemented on this platform.
- the HSM 519 cryptographic circuit used for the generation of the digital signature and the security key cryptographic circuit 520 used for the protection of the secure storage module 514 are each implemented by a secure microprocessor 532, 534 and an operating system 533, 535 (for example, a native and / or virtual machine-based operating system such as JavaCard).
- the HSM cryptographic circuit 519 and the security key cryptographic circuit 520 each comprise a serial / network adapter 540, 541 configured to be connected to the corresponding serial / network adapter 504, 505 of the personalization device 500.
- FIG. 6 it can be seen that there is shown a flowchart illustrating an exemplary method of operation of the personalization device ID document 500 according to the invention.
- the operating process starts at step
- the personalization device 500 performs a self-diagnosis in step 602 when it is powered up or when it is first used. If the diagnoses are Positive, the personalization device 500 is then ready to receive instructions from the workstation 101 and / or events detected by one or more sensors, such as a button or a presence detector, in step 603.
- the personalization device 500 Upon receiving a diagnostic request instruction 604, the personalization device 500 returns the status of the diagnostics to the workstation 101 at step 605.
- the personalization device 500 Upon receiving a signature request instruction 604, the personalization device 500 performs a structuring of the data in step 606 and digitally signs them in step 607, the personalization device 500 being able to use the HSM 519 cryptographic circuit. for the calculation of the digital signature.
- the personalization device 500 returns only the signed data without encoding them in step 609.
- the personalization device 500 encodes the data in the microchip of the document and / or in the form of text and / or printable code at step 610.
- the personalization device 500 increments (or decrements) an internal counter to each new processing in step 611, then transmits the state of the encoding of the microchip and / or the encoding of the text and / or the printable code at workstation 101 at step 612.
- the personalization device 500 can retrieve the transport key or keys from the secure storage module 514 by the security key 520 in order to establish a secure session with the microchip.
- the internal counter can be protected by the security key 520 and can be used for example to restrict the number of uses of the device 500.
- the personalization device 500 can check the value of the internal counter before allowing the processing of 1 '. encoding.
- the personalization device 500 Upon receipt of a unique identifier request instruction, the personalization device 500 retrieves the unique identifier of the document at step 613, for example via the camera 524 or the smart card reader 527. and transmits it to workstation 101 at step 614.
- the personalization device 500 Upon receipt of an encoding instruction only, the personalization device 500 directly encodes the data into the microchip and / or text and / or printable code in step 610.
- the personalization device 500 may transmit information to the workstation 101.
- the personalization device 500 can also process the initialization of the file structure of the microchip, a process also known as "pre-customization”.
- bubbles "1" and “2" in the flowchart of Figure 6 respectively indicate links between the different branches of the flowchart.
- FIG. 7 it can be seen that there is shown a high level functional diagram of an identity document personalization device 700 according to the invention.
- the personalization device 700 is an embedded device combining both hardware and software.
- the main modules of the personalization device 700 include a power unit 701, a network adapter 702, one or more serial adapters 703, one or more input-output adapters 704, a real-time clock 705, a central processing unit 706 with memory 711, a network communication module 707, a coordination module 708, a data parser module 709, a signature generation module 710, a sensor module 712, a script parser module 713, a data structuring module 714, an encoding module 715 and one or more cryptographic modules 716.
- a power unit 701 a network adapter 702, one or more serial adapters 703, one or more input-output adapters 704, a real-time clock 705, a central processing unit 706 with memory 711, a network communication module 707, a coordination module 708, a data parser module 709, a signature generation module 710, a sensor module 712, a script parser module 713, a data structuring module 714, an encoding module
- the present invention thus makes it possible to transform a "conventional" printer into an "intelligent” printer and, consequently, makes it possible to transform an infrastructure for issuing non-electronic identity documents into an infrastructure capable of issuing electronic identity documents while by reusing databases, graphic personalization software and printers, thus avoiding the need to completely replace existing equipment.
Landscapes
- Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
- Facsimiles In General (AREA)
Abstract
L'invention a pour objet un dispositif de personnalisation de document d'identité (104) comprenant : une interface d'émission-réception de données (340) configurée pour recevoir des données de personnalisation concernant un document d'identité; un module de structuration de données (331) configuré pour structurer les données de personnalisation reçues; un module de génération de signature numérique (332) configuré pour signer numériquement les données de personnalisation structurées; et un module d'encodage (333) configuré pour coder les données de personnalisation structurées signées sous au moins une forme parmi un texte, un code graphique, un code magnétique et un code électronique; le dispositif (104) comprenant en outre une clé de sécurité matérielle (370) amovible configurée pour stocker des données sensibles de configuration du dispositif de personnalisation (104); le dispositif (104) étant intégré dans une imprimante ou relié à une imprimante.
Description
DISPOSITIF DE PERSONNALISATION DE DOCUMENT D'IDENTITE POUR IMPRIMANTE ET IMPRIMANTE LE COMPRENANT
La présente invention concerne le domaine des imprimantes de documents d'identité/d'identification (ID), et porte en particulier sur un dispositif de personnalisation de document d' identité pour une imprimante et sur une imprimante le comprenant .
Les documents d'identification sont des documents qui contiennent des informations personnelles d'identification de la personne titulaire du document.
Les documents d'identité tels que les cartes (par exemple, cartes d'identité), tels que les livrets (par exemple documents de voyage lisibles par machine, passeports) , ou tels que les documents sources (par exemple, extraits d'acte de naissance, diplômes universitaires) font partie des nombreux types de documents d'identification imprimables existant à l'heure actuelle.
Les documents d'identité électroniques (par exemple, cartes d'identité électroniques à micro puce et passeports électroniques) sont des documents qui comportent en outre des données lisibles par machine encodées dans une micro puce incorporée dans la carte ou dans le livret du passeport .
La production des documents d'identité comporte typiquement deux étapes distinctes : la personnalisation « graphique » et la personnalisation « électronique ».
La personnalisation « graphique » consiste en l'impression des informations du porteur de document sur le document (telles que le nom du porteur de document, sa date de naissance, sa nationalité, la photo de son visage ou toute autre information d'identification) ainsi que des informations du document lui-même (telles que le numéro
unique du document, sa date d'émission, sa durée de validité, l'autorité d'émission du document).
La personnalisation « électronique » consiste également en le stockage sous forme électronique dans la micro puce (processus également connu sous le nom d'encodage) des données graphiquement imprimées sur le document .
En outre, la micro puce peut contenir une ou plusieurs informations d'identification biométriques de l'individu porteur de document (par exemple, la photo du visage, son/ses empreinte (s) digitale (s), les caractéristiques de la rétine ou de l'iris, la structure électronique de 1 'ADN du porteur de carte) .
Des mécanismes de protection et des protocoles cryptographiques sont implémentés dans la micro puce afin de protéger les données stockées électroniquement, d'empêcher un accès non autorisé, ainsi que d'assurer l'intégrité et l'authenticité des données pour une vérification ultérieure.
La « signature numérique » est employée pour assurer l'intégrité et l'authenticité des données du document. Une signature numérique peut être imprimée sous la forme d'un texte et/ou d'un code (par exemple, code- barres, QR code, code 2D) et/ou sous la forme d'un code électroniquement encodé dans la micro puce dans le cas des documents d'identités électroniques et/ou sous la forme d'un code magnétique, par exemple un code magnétique tel que défini par la norme ISO 7811.
La signature numérique est un nombre, ce nombre pouvant être stocké sur différents supports (par exemple, électroniques, magnétiques, papiers) sous différents formats (par exemple, chiffres, combinaisons de lettres) .
Une signature numérique est produite au moyen de clés cryptographiques. Les clés cryptographiques sont des informations sensibles qui sont généralement protégées par un système de gestion sécurisé de clés (ou HSM pour « Hardware Security Module » en terminologie anglo-saxonne) . La protection des clés cryptographiques par un matériel spécialisé, résistant aux tentatives de modifications physiques, assure la protection des données cryptographiques sensibles contre une utilisation non autorisée .
Les certificats numériques sont employés en combinaison avec la signature numérique lors du processus de vérification de la signature numérique.
On peut distinguer principalement deux types d'imprimantes de documents d'identité : la machine industrielle à grande vitesse appropriée pour la production de documents d'identité en grands volumes ; et l'imprimante de bureau (de passeports par exemple) appropriée pour la production en petits et moyens volumes.
L' imprimante industrielle à grande vitesse est habituellement désignée comme équipement d'émission « centralisée » puisque la production des documents d'identité est centralisée en un lieu unique. L'équipement à grande vitesse est habituellement un équipement plutôt volumineux. Le modèle IDENTIFIER6000® de l'entreprise Mülhbauer est un exemple d'équipement de personnalisation industriel à grande vitesse.
Les imprimantes de bureau sont des équipements beaucoup moins volumineux et peuvent tenir sur une table de bureau. Les imprimantes de bureau sont habituellement désignées comme équipement d'émission « instantanée » puisque la production des documents d'identité peut être décentralisée (par exemple plusieurs sites de production
dans des lieux distincts) et presque instantanée. Les imprimantes de bureau peuvent aussi bien convenir pour une émission centralisée que décentralisée. Le modèle Diletta800i® de l'entreprise Diletta est un exemple d'imprimantes à passeport de bureau. Le modèle Primacy® de l'entreprise Evolis est un exemple d'imprimante à carte de bureau .
On peut distinguer principalement deux types de micro puce de document d' identité : les micro puces à mémoire et les micro puces à microprocesseur, les micro puces à mémoire étant également connues sous le nom d'étiquette ou carte RFID .
Les micro puces à mémoire n'ont pas de système de fichiers, tandis que les micro puces à microprocesseur intègrent un microprocesseur avec de la mémoire ainsi qu'un système de fichiers.
La micro puce à microprocesseur intègre habituellement un système d'exploitation, le système d'exploitation étant soit dit propriétaire soit dit ouvert lorsqu'il implémente une spécification publique telle qu'une machine virtuelle de type « Javacard » conforme aux normes de GlobalPlatform® . Le système d'exploitation à système de fichiers MTCOS® de 1 'entreprise Masktech est un exemple de système d'exploitation propriétaire dans le domaine des documents d'identité. Le système d'exploitation à système de fichiers JCOP® de l'entreprise NXP/Qualcomm est un exemple de système d'exploitation ouvert dans le domaine des documents d'identité.
On peut distinguer trois types d'interface physique pour les micro puces : les micro puces à contacts externes selon la norme ISO/IEC7816, les micro puces sans contact selon la norme ISO/IEC14443 et les micro puces à
double interface combinant les deux interfaces précédemment mentionnées .
Le document d'identification peut être une carte d'identité à micro-puce et à contacts externes affleurant au format ID1 ou un passeport ou livret au format ID3 selon la norme de l'Organisation de l'Aviation Civile Internationale (OACI souvent désignée par son acronyme anglais ICAO) comportant un tel microcontrôleur muni de moyens de communication sans contact, disposé dans l'épaisseur de l'une de ses feuilles ou de la couverture.
Il existe plusieurs fréquences de communication avec la micro puce, par exemple les basses fréquences 125kHz, les moyennes fréquences 13,56MHz ou encore les hautes fréquences entre 300MHz et 3GHz . Les micro puces pour les applications de documents d'identité opèrent à des fréquences de 13,56MHz pour des distances de l'ordre de quelques centimètres.
Le système de fichiers du système d'exploitation de la micro puce à microprocesseur doit être initialisé (par exemple, initialisation du nombre de dossiers et de fichiers, de la taille de chaque fichier, instanciation de la ou des applications) . L'initialisation du système de fichiers est un processus également connu sous le nom de « pré-personnalisation électronique ». Il s'agit d'une étape ayant lieu avant la personnalisation électronique du document d'identification. Suite à l'initialisation du système de fichiers de la micro puce, il est seulement possible de personnaliser la micro puce avec la connaissance de clés cryptographiques désignées sous le nom de « clés de transport ».
Les passeports électroniques et les cartes nationales d'identité électroniques sont conformes, pour des raisons d'interopérabilité, aux directives définies par
l'Organisation de l'Aviation Civile Internationale (ICAO). Un logiciel pour la personnalisation graphique et électronique est nécessaire afin de produire un document d'identité électronique conforme aux normes de 1 'ICAO avec les imprimantes mentionnées ci-dessus.
Les documents électroniques d'identité combinent des techniques de protection physiques et électroniques afin de fournir un niveau de sécurité sensiblement plus élevé que les documents non électroniques. Par conséquent, les documents électroniques sont bien plus difficiles à falsifier que les documents non électroniques (tels que les passeports non électroniques désignés sous le nom de documents de voyage lisibles par machine) .
De plus en plus de pays et d'organismes émettent aujourd'hui des documents d'identité électroniques. Cependant, un grand nombre de pays en voie de développement et d'organismes restent encore exclus des avantages des documents d' identité électroniques et émettent encore des documents d'identité non électroniques.
L'infrastructure nécessaire pour émettre des documents d' identité électroniques exige des composants supplémentaires et coûteux, notamment : une infrastructure à clé publique (PKI), un système de gestion de clés électroniques et un système de personnalisation de micro puce électronique.
Une infrastructure d'émission de documents d' identité non électroniques est très similaire à une infrastructure d'émission de documents d'identité électroniques à l'exception qu'elle n'inclut pas les trois composants mentionnés ci-dessus.
Certains fabricants d'imprimantes de bureau à passeport fournissent des logiciels de personnalisation avec leurs équipements, par exemple CardPlus® pour la
société Diletta. Cependant, une première restriction est que ces logiciels ne permettent que la personnalisation graphique et ne permettent pas en particulier la personnalisation électronique conforme aux parties 9 à 11 de la norme ICAO9303 de l'ICAO. En effet, une imprimante existante de la société Diletta par exemple intègre uniquement un lecteur de carte à puce transparent qui ne peut pas à lui seul créer une structure de données, générer une signature de la structure de données et établir un canal de communication sécurisé avec la micro puce afin de programmer le système de fichiers de cette dernière.
Certains fabricants d'imprimantes industrielles à passeport tels que la société Mühlbauer peuvent fournir un logiciel capable de réaliser la personnalisation électrique conforme à la norme ICAO9303 de l'ICAO. Cependant, une seconde restriction est que ce dernier nécessite un développement spécifique. En effet, le logiciel doit être paramétré à la configuration de la machine qui est spécifique et différente selon le projet. D'autre part, le logiciel doit également être adapté à la micro puce intégrée au document d'identité. Enfin, ce logiciel ne fonctionne qu'avec les imprimantes du constructeur également éditeur de logiciel et est bien souvent dépendant d'un système d'exploitation. Par exemple, la bibliothèque Windows (dll) pour générer les commandes d'écriture dans la micro puce ne fonctionne que sous WindowsXP® et pas sous WindowslO®. En outre, un kit de développement logiciel (SDK) fourni par le fabriquant de système d'exploitation de la micro puce tel que la société Masktech ou encore la société NXP est bien souvent nécessaire pour générer la bibliothèque adéquate.
Les fabricants d'imprimantes à carte à puce quant à eux fournissent également des logiciels de
personnalisation avec leurs équipements, par exemple Cardpresso® pour la société Evolis. Cependant, une troisième restriction est que ces logiciels permettent uniquement la personnalisation électrique d'étiquettes ou de cartes RFID. En effet, bien que certaines imprimantes intègrent des modules dit « d'encodage électronique » tels que le module Identive SCM3712®, ces derniers sont capables de programmer des micro puces à mémoire de type MIFARE™ Classic® mais ne sont ni capables de personnaliser des structures de fichiers complexes de micro puces, ni capables d'établir des sessions de communication sécurisées avec la micro puce, ni capables de signer numériquement les données .
En conséquence, un logiciel utilisé pour la personnalisation électronique conforme aux directives de l'ICAO 9303 n'est pas fourni avec les imprimantes par les fabricants d'imprimantes mais plutôt séparément par des éditeurs de logiciel tels que 1 'entreprise Gemalto avec sa solution Gemalto Issuance Solutions®. Cependant, une quatrième restriction est que ces solutions sont des solutions clés en mains propriétaires, complexes puisqu'elles lient la personnalisation graphique et électrique, et nécessitent ainsi un développement spécifique par type d'imprimante. Il n'est pas possible par exemple de réutiliser un logiciel de personnalisation graphique existant avec ces solutions. De plus, ces solutions étant propriétaires et nécessitant un développement spécifique, elles sont onéreuses.
En résumé, l'infrastructure pour émettre des documents d'identité non électroniques n'est pas compatible avec l'infrastructure pour émettre des documents d'identité électroniques. Par conséquent, émettre des documents d' identité électroniques est synonyme dans la plupart des
cas d'un remplacement total de l'infrastructure d'émission de documents par une infrastructure plus complexe et plus coûteuse. Le remplacement de l'infrastructure représente un investissement non négligeable pour les petits pays émergents et les pays en développement, ce qui les contraint à continuer à émettre des documents d'identité non électroniques.
D'autre part, les machines industrielles à grande vitesse et les imprimantes de bureau utilisent des logiciels différents. Par conséquent, une solution logicielle pour l'émission centralisée avec une imprimante industrielle à grande vitesse ne peut pas être utilisée pour 1 'émission instantanée avec une imprimante de bureau et inversement .
La présente invention vise à résoudre les inconvénients de l'état antérieur de la technique, en proposant un dispositif de personnalisation de document d'identité intégré dans une imprimante ou relié à une imprimante. Le dispositif de personnalisation selon l'invention peut être employé comme un accessoire universel d'imprimante, permettant à n'importe quelle imprimante de documents d'identité de générer des données signées numériquement qui peuvent être électroniquement programmées dans une puce du document d'identité et/ou peuvent être imprimées sous forme de texte et/ou de code graphique et/ou de code magnétique sur le document d'identité.
La présente invention a donc pour objet un dispositif de personnalisation de document d'identité, caractérisé par le fait qu' il comprend : une interface d'émission-réception de données configurée pour recevoir des données de personnalisation concernant un document d' identité ; un module de structuration de données configuré pour structurer les données de personnalisation
reçues ; un module de génération de signature numérique configuré pour signer numériquement les données de personnalisation structurées à l'aide d'au moins une clé cryptographique ; et un module d'encodage configuré pour coder les données de personnalisation structurées signées, sur le document d'identité, sous au moins une forme parmi un texte, un code graphique, un code magnétique et un code électronique ; le dispositif de personnalisation de document d' identité comprenant en outre une clé de sécurité matérielle amovible configurée pour stocker des données sensibles de configuration du dispositif de personnalisation ; le dispositif de personnalisation de document d' identité étant intégré dans une imprimante ou relié à une imprimante.
Avantageusement, les données de personnalisation ne sont pas stockées de façon permanente dans le dispositif de personnalisation de document d'identité, mais effacées après chaque utilisation. Ainsi, le dispositif de personnalisation de document d' identité selon la présente invention peut être employé comme un accessoire universel d'imprimante, permettant à n'importe quelle imprimante de documents d'identité de générer des données signées numériquement qui peuvent être électroniquement programmées dans une puce du document d'identité et/ou qui peuvent être imprimées sous forme de texte et/ou de code graphique et/ou de code magnétique sur le document d'identité. L'avantage de stocker la signature sous deux formes (électronique et code graphique par exemple) permet de s'assurer que la signature est vérifiable, quand bien même la puce serait endommagée et illisible.
La plupart des pays émergents ou en voie de développement émettant des documents d' identité non électroniques ont souvent déjà investi dans une
infrastructure informatique, par exemple des serveurs matériels, bases de données, logiciels de personnalisation graphique, et dans une ou plusieurs imprimantes pour la personnalisation graphique uniquement. Le dispositif de personnalisation de document d'identité selon l'invention permet de transformer une imprimante « classique » en imprimante « intelligente » capable d'organiser et de signer numériquement des données électroniques et ainsi de personnaliser un document d'identification électronique (par exemple et en les encodant dans une structure de fichiers complexe d'une micro-puce) et/ou de générer une signature électronique sous la forme de texte et/ou de code imprimable et/ou de code magnétique.
Le dispositif de personnalisation peut implémenter des protocoles et/ou interfaces matériels et logiciels standardisés, telles que PKCS#11, ICAO9303, CCID, PC/SC, WebSocket, SSL, IS07816, JSON et/ou XML, qui facilitent l'intégration avec un grand nombre de logiciels graphiques de personnalisation, un grand nombre de HSM et un grand nombre d'imprimantes. Par conséquent, il est possible de transformer n'importe quelle infrastructure capable d'émettre des documents d'identité non électroniques en une infrastructure capable d'émettre des documents d' identité électroniques en générant et en encodant des données signées numériquement.
Le dispositif de personnalisation peut soit être intégré dans l'imprimante, soit être portable et relié à 1' imprimante .
Le dispositif de personnalisation traite les données de personnalisation reçues à l'aide du module de structuration de données, signe numériquement les données de personnalisation structurées à l'aide du module de génération de signature, puis écrit lesdites données de
personnalisation structurées signées dans la micro puce du document d'identité et/ou transmet les données de personnalisation structurées signées sous la forme de texte et/ou de code imprimable et/ou de code magnétique à l'aide du module d'encodage.
La clé de sécurité matérielle amovible, aussi connue sous le nom de « dongle » en terminologie anglo- saxonne, stockant les données sensibles de configuration du dispositif de personnalisation, permet de sécuriser le dispositif de personnalisation, ce dernier ne pouvant pas fonctionner lorsqu'il n'est pas relié à ladite clé de sécurité. La clé de sécurité est, de préférence, au format mini USB amovible.
Il est à noter qu'une implémentation purement logicielle de la clé de sécurité pourrait également être possible, bien que moins recommandée.
Selon une caractéristique particulière de l'invention, lorsque les données de personnalisation structurées signées sont codées sous forme de texte, de code graphique ou de code magnétique, le module d'encodage est configuré pour envoyer les données de personnalisation structurées signées codées à l'imprimante par l'intermédiaire de l'interface d'émission-réception de données. Les données de personnalisation structurées signées codées peuvent être envoyées à l'imprimante par l'intermédiaire d'une station de travail à laquelle sont reliés le module de codage et l'imprimante.
Ainsi, l'imprimante peut imprimer les données de personnalisation structurées signées codées, de type texte, code graphique et/ou code magnétique, sur le document d'identité une fois qu'elle a reçu celles-ci.
L' imprimante peut être directement reliée à l'interface d'émission-réception de données du dispositif
de personnalisation ou reliée à celle-ci par l'intermédiaire d'un poste de travail relié à la fois à l'imprimante et à l'interface d'émission-réception de données du dispositif de personnalisation.
Selon une caractéristique particulière de l'invention, lorsque les données de personnalisation structurées signées sont codées sous forme de code électronique, le dispositif de personnalisation comprend en outre au moins un lecteur de carte à puce apte à communiquer avec la puce électronique d'un document d'identité de type à puce électronique, ledit au moins un lecteur de carte à puce étant intégré dans l'imprimante ou relié à l'imprimante, le module d'encodage étant configuré pour envoyer les données de personnalisation structurées signées codées à l'au moins un lecteur de carte à puce qui est configuré pour coder la puce électronique du document d' identité en fonction des données de personnalisation structurées signées codées reçues.
Ainsi, le module d'encodage est responsable de coder et d'envoyer les commandes APDU (Unité de Données de Protocole d' Application) de personnalisation au lecteur de carte à puce qui les envoie ensuite à la micro puce du document d'identité électronique. Il peut être relié à un ou plusieurs lecteurs de carte à puce embarqués ou non dans l'imprimante. Le module d'encodage est ainsi apte à établir une session de communication sécurisée avec la carte à puce. La connexion sécurisée est établie suivant un protocole d'authentification mutuelle défini par les standards ICAO, BSI ou GlobalPlatform (dans le cas d'une javacard) . Le dispositif selon l'invention se différencie ainsi des produits existants qui peuvent encoder des puces et étiquettes RFID, mais ne peuvent pas établir de session de communication sécurisée complexe avec une carte à puce.
Il est à noter que les étapes de personnalisation électronique et de personnalisation graphique du document d' identité peuvent être réalisées soit séparément soit simultanément .
Selon une caractéristique particulière de l'invention, l'au moins un lecteur de carte à puce est de type sans contact.
Ainsi, il suffit de poser le document d'identité électronique sur le lecteur de carte à puce sans contact puis qu'une commande de personnalisation (contenant des informations de personnalisation à écrire dans la puce du document d'identité, telles qu'une photo ou des empreintes digitales) soit envoyée par le module d'encodage.
Il est à noter que l'au moins un lecteur de carte à puce pourrait également être à contact ou à la fois à contact et sans contact, sans s'écarter du cadre de la présente invention.
Selon une première variante de l'invention, le dispositif de personnalisation comprend en outre un module de sécurité matériel, HSM, amovible dans lequel est stockée l'au moins une clé cryptographique utilisée par le module de génération de signature numérique.
Le module de génération de signature numérique est responsable de signer numériquement les données de personnalisation structurées par le module de structuration de données (telles que le dossier EF.SOD dans le cas des documents conformes à la norme ICAO9303) qui doivent être stockées dans la micro puce intégrée au document d' identité électronique. Les clés cryptographiques utilisées pour signer les données de personnalisation sont protégées de façon matérielle ou logicielle par le HSM qui implémente une interface standard telle que l'interface cryptographique PKCS#11.
La prise en charge par le dispositif de personnalisation du standard PKCS#11 permet une intégration aisée avec un grand nombre de HSM de type carte à puce, carte PCI ou équipement réseau.
Dans le cas d'une émission dite à signature numérique hors ligne (« offline », en terminologie anglo- saxonne) , le HSM peut être typiquement implémenté par un HSM à base de carte à puce ayant un encombrement réduit, tel qu'une clé au format mini USB amovible, conforme à la norme PKCS#11.
Dans le cas d'une émission dite à signature numérique en ligne (« online », en terminologie anglo- saxonne) , le HSM peut être implémenté par une carte PCI (« Peripheral Component Interconnect », en terminologie anglo- saxonne) , un HSM réseau ou un HSM à base de carte à puce conforme à la norme PKCS#11.
Étant donné que le dispositif de personnalisation implémente une interface cryptographique standard (par exemple PKCS#11), un grand nombre de HSM tels que des HSM à base de carte à puce, des HSM à interface PCI ou des HSM à base de carte réseau peuvent s'interfacer au dispositif de personnalisation. L'invention respecte les meilleures pratiques établies de l'industrie comprenant l'utilisation de HSM afin de protéger les clés cryptographiques privées. Il est à noter qu'une implémentation purement logicielle du HSM est, bien que moins recommandée, également possible.
Selon une seconde variante de l'invention, l'au moins une clé cryptographique utilisée par le module de génération de signature numérique est stockée sur un serveur distant en communication avec l'interface d'émission/réception de données.
Selon une caractéristique particulière de l'invention, les données sensibles de configuration
stockées dans la clé de sécurité matérielle sont l'un parmi au moins une clé de transport, au moins une partie du code source des différents modules du dispositif de personnalisation, un compteur incrémental/décrémental, et, le cas échéant, un code PIN destiné à activer le HSM.
Ainsi, les informations sensibles listées ci- dessus sont protégées par la clé de sécurité.
Une clé de transport est une clé permettant d'écrire dans la micro puce d'un document d'identité électronique. Sans la connaissance de cette clé, il est impossible d'écrire des données dans la micro puce.
Il est à noter que les données sensibles peuvent également comprendre une valeur de compteur de limitation du nombre d'utilisations du dispositif de personnalisation.
Selon une caractéristique particulière de l'invention, le dispositif de personnalisation comprend en outre un module de stockage sécurisé relié à la clé de sécurité matérielle.
Ainsi, le module de stockage sécurisé peut stocker de manière sécurisée les données sensibles protégées par la clé de sécurité matérielle.
Selon une caractéristique particulière de l'invention, le dispositif de personnalisation comprend en outre un module de coordination configuré pour gérer le transfert des données reçues par l'intermédiaire de l'interface d'émission-réception vers les différents modules du dispositif de personnalisation.
Ainsi, le module de coordination est responsable de coordonner les différents modules et de transférer les données de l'interface d'émission-réception de données vers les modules appropriés et inversement.
Selon une caractéristique particulière de l'invention, le module de structuration de données est
configuré pour structurer les données de personnalisation reçues conformément au standard ICAO9303 de l'organisation de l'aviation civile internationale.
Ainsi, la structuration de données consiste à préparer les données de personnalisation sous la forme d'une structure de données logique (« Logical Data Structure », en terminologie anglo-saxonne) de la norme ICAO9303 de l'ICAO.
La structure de données logique (SDL) correspond à la structure de fichiers des données électroniques pour se conformer aux spécifications de 1 'ICAO9303 dans le cas des passeports électroniques et/ou des cartes nationales d'identité. La SDL peut être stockée dans la micro puce du passeport électronique et/ou de la carte nationale d'identité et/ou encodée sous la forme d'un sceau numérique visible (VDS, « Visible Digital Seal » en terminologie anglo-saxonne) selon les normes ICAO9303 et BSI TR-03137.
Le module de structuration de données est responsable d'organiser les données de personnalisation selon la norme ICAO9303 de structure de données logique et/ou selon la norme ISO/IEC 18013-2 : 2008 et/ou selon la norme Europay MasterCard Visa (EMV) pour la sécurité des cartes de paiement (cartes à puce) . D'autres normes, existantes ou futures, pourraient également être mises en œuvre par le module de structuration de données, sans s'écarter du cadre de l'invention.
Selon une caractéristique particulière de l'invention, l'interface d'émission-réception de données est apte à communiquer, en liaison sans fil ou filaire, avec un poste de travail par l'intermédiaire d'un protocole de communication standardisé en temps réel, de type WebSocket .
Ainsi, le dispositif de personnalisation peut être relié au poste de travail par l'intermédiaire d'un câble réseau filaire (par exemple, Ethernet) ou de manière sans fil (par exemple, WIFI) . La communication entre le poste de travail et le dispositif de personnalisation est établie par le protocole de communication standard tel que WebSocket/SSL .
Le dispositif de personnalisation obtient des données de personnalisation liées à un porteur titulaire du document d'identité dans un format standard tel qu'encodé en Base64 et structuré en XML, JSON par un moyen de communication standard WebSocket/SSL .
La prise en charge du protocole de communication standardisé temps réel WebSocket permet une intégration logicielle simplifiée avec un logiciel de personnalisation graphique .
L' interface de type WebSocket permet de séparer l'application métier (c'est-à-dire la pile logicielle ICAO9303 qui crée la structure de fichiers conforme au standard ICAO9303, signe les données numériquement et écrit les données dans la puce du document) de l'interface graphique .
Étant donné que le dispositif de personnalisation implémente une interface de communication réseau standard WebSocket, il peut facilement être intégré et connecté avec pratiquement n'importe quel logiciel écrit dans n'importe langage de programmation. Un script simple écrit dans n'importe quel langage de programmation (par exemple, C, Python, Java, VB) s 'exécutant sur le poste de travail peut rendre le dispositif de personnalisation compatible avec pratiquement toutes les bases de données (par exemple, MS Access, MySQL, Oracle) et avec pratiquement tous les
logiciels de personnalisation graphique (par exemple, CardPresso®) .
Selon une caractéristique particulière de l'invention, le lecteur de carte à puce est relié au module d'encodage par l'intermédiaire d'au moins l'une d'une interface USB CCID et d'une interface PC/SC.
Ainsi, étant donné que le dispositif de personnalisation implémente une interface standardisée CCID ou PC/SC, il est possible de le relier à un grand nombre de lecteurs de carte à puce, le rendant compatible avec toutes les imprimantes de document d'identité actuellement disponibles sur le marché. Si l'imprimante n'inclut pas de lecteur de carte à puce, le dispositif de personnalisation peut être utilisé avec un lecteur de carte à puce autonome.
Selon une caractéristique particulière de l'invention, les différents modules du dispositif de personnalisation sont mis en œuvre dans un mini-ordinateur. Il convient de noter que le dispositif selon l'invention peut également être un appareil programmé. Les instructions du ou des programme (s) mettant en œuvre l'invention peuvent, par exemple, être implémentées dans un circuit intégré programmable ou spécifique (en anglais Application Spécifie Integrated Circuit, ASIC) .
Ainsi, le mini-ordinateur (SBC, « Single Board Computer », en terminologie anglo-saxonne) est une solution économique et performante pour mettre en œuvre les modules logiciels du dispositif de personnalisation. Le SBC est capable d'exécuter le code nécessaire pour préparer la structure de données logique de la norme ICAO9303. De même, le SBC est capable d'exécuter le code pour encoder une carte à microcontrôleur et encoder le système de fichiers de la puce électronique du document d' identité électronique .
Le SBC intègre de préférence Ethernet, Wifi, RTC, USB et un processeur utilisé pour exécuter un système d'exploitation haut niveau, tel que Linux®, et un code indépendant du matériel, tel que Java.
Selon une caractéristique particulière de l'invention, le dispositif de personnalisation comprend en outre au moins un port d' entrée/sortie pour une liaison avec au moins un périphérique, tel qu'un relais, un capteur, une caméra ou un scanner afin d'acquérir une valeur unique du document - les données de personnalisation ne sont jamais stockées de façon permanente dans le dispositif mais effacées après chaque utilisation.
Selon une caractéristique particulière de l'invention, une valeur physique non clonable du document est stockée dans la structure de donnée et sert de composante à au moins l'une des signatures numériques.
Selon une caractéristique particulière de l'invention, un circuit cryptographique physique amovible ou logiciel, protège les données électroniques servant à débloquer ledit module de génération de signature numérique et/ou protège la/les clés de transports permettant d'établir la session de communication chiffrée avec la micro puce.
Chaque interface réseau peut être une interface réseau filaire ou sans fil permettant d'accéder à une base de donnée distante pour requérir et/ou obtenir des données.
Les protocoles de communications implémentés peuvent être des protocoles de communication standard temps réel .
Les communications peuvent être chiffrées par un algorithme cryptographique.
Au moins l'une de clés de session des communications sécurisés peut être établie à partir d'un protocole d'authentification mutuelle.
Chaque module peut s 'exécuter sur un microcontrôleur de 32 bits ou 64 bits d'architecture RISC ou CISC ou ASIC exécutant un système d'exploitation haut niveau fournissant le support de plusieurs processus - multi-thread en terminologie anglo-saxonne- tels que par exemple Linux® ou Windows®.
Les circuits cryptographiques peuvent être des circuits physiques amovibles et/ou implémentés par le dispositif lui-même et/ou déportés sur le réseau.
Le module d'encodage peut analyser et exécuter un script de pré-personnalisation électronique constitué d'une suite de paquets APDU stockée par le module de stockage de données afin d'initialiser la structure du système de fichiers de la micro puce.
Le module de stockage de données peut protéger au moins un code PIN servant à activer le module de génération de signature numérique, une ou plusieurs clés de transports servant à protéger en écriture la micro puce du document à personnaliser, une partie ou la totalité du code source des modules constituant le dispositif, un compteur incrémental ou décrémentai limitant le nombre d'usage du dispositif.
Le module d'encodage peut détecter par la lecture de la réponse à la réinitialisation et/ou par la réponse à la commande de sélection des fichiers élémentaires de la micro puce au moins l'une des informations suivantes:
- le fabriquant de la micro puce ;
- la version du système d'exploitation de la micro puce afin d'optimiser la taille des commandes d'écriture des APDU envoyées à la micro puce et/ou les fichiers de la micro-puce à écrire.
Le module de génération de signature numérique et/ou le module de structuration de données et/ou le module d'encodage peuvent s'exécuter sur une même unité de traitement pour optimiser la personnalisation de la micro puce .
La personnalisation de la micro-puce peut également être optimisée par butferisation du script de pré-personnalisation électrique dans ledit module d 'encodage .
Les modules peuvent effacer de façon sécurisée les données reçues et générées en les écrasant par des valeurs constantes.
Le dispositif peut tester la présence d'au moins l'un desdits modules pouvant être amovible avant chaque utilisation dudit dispositif.
Les modules peuvent s 'exécuter non déportés sur le réseau.
Les modules peuvent être implémentés dans au moins un langage de programmation tel que par exemple le langage C, C++ ou Java.
Au moins l'un desdits modules peut s'exécuter sur une matrice prédiffusée programmable (FPGA) .
Le dispositif peut être connecté à plusieurs lecteurs de cartes.
Le module de stockage de données sécurisé peut comprendre un compteur limitant le nombre d'usages dudit dispositif .
La présente invention a également pour objet une imprimante comprenant un dispositif de personnalisation de document d'identité tel que décrit ci-dessus.
Pour mieux illustrer l'objet de la présente invention, on va en décrire ci-après, à titre illustratif
et non limitatif, des modes de réalisation préférés, avec référence aux dessins annexés.
Sur ces dessins :
- les Figures IA à 1E illustrent respectivement cinq variantes différentes d'architecture système d'environnement de production de document d'identité comprenant un dispositif de personnalisation de document d' identité selon la présente invention ;
- les Figures 2A à 2C illustrent respectivement trois variantes différentes de boîtier du dispositif de personnalisation de document d' identité selon la présente invention ;
- la Figure 3A représente une vue fonctionnelle du dispositif de personnalisation de document d' identité selon l'invention qui illustre l'interaction entre ses différents modules ;
- la Figure 3B représente un diagramme séquentiel illustrant un exemple d' interactions possibles entre les différents modules du dispositif de personnalisation de document d' identité selon la présente invention ;
- la Figure 4 représente un diagramme de flux de données illustrant un exemple de traitement de données par le dispositif de personnalisation de document d' identité selon l'invention ;
- les Figures 5A et 5B représentent des schémas fonctionnels du dispositif de personnalisation de document d'identité selon l'invention ;
- la Figure 6 représente un organigramme illustrant un exemple de traitement des commandes principales par le dispositif de personnalisation de document d' identité selon l'invention ; et
la Figure 7 représente un schéma fonctionnel haut niveau du dispositif de personnalisation de document d'identité selon l'invention. Si l'on se réfère aux Figures IA à 1E, on peut voir qu' il y est représenté cinq variantes différentes d'architecture système d'environnement de production de document d' identité comprenant un dispositif de personnalisation de document d'identité 104 selon la présente invention
La Figure IA illustre une première variante de mise en œuvre de l'invention dans un environnement de production de document d'identité.
Cette première variante est la variante la plus simple dans laquelle l'émission (instantanée ou non) de document d' identité est réalisée avec la génération de signature numérique dite hors ligne. Dans ce cas très simple d'utilisation, les données du titulaire du document d' identité sont stockées par exemple dans une base de données locale 103.
Un poste de travail 101, exécutant un logiciel de personnalisation graphique et pouvant contenir la base de données locale 103, est relié à une imprimante de bureau 111 pour documents d'identité sécurisés (tels que des passeports, des livrets, des laissez-passer diplomatiques, des titres de voyage provisoires, des cartes nationales d'identité ou tout autre document d'identification de gouvernement, des permis de conduire, des cartes grises, des badges de sécurité, des cartes d'identité de résidence étrangère, des cartes de vote, des cartes de santé, des carte d'étudiant, des livrets d'identification de marin, des livrets militaires, etc.) par l'intermédiaire d'une connexion série ou réseau 112.
D'autre part, le poste de travail 101 est relié au dispositif de personnalisation de document d' identité 104 par l'intermédiaire d'une connexion réseau 106 (par exemple, liaison filaire Ethernet ou liaison sans fil WIFI ) .
Le dispositif de personnalisation 104 est d'autre part relié à un lecteur de carte à puce 105 par l'intermédiaire d'une connexion série 107 (par exemple, USB, UART, SPI ou I2C) .
Le lecteur de carte à puce 105 peut être intégré ou non dans l'imprimante 111.
Le dispositif de personnalisation 104 peut être relié à un module de sécurité matériel (HSM) 109 et/ou à une clé de protection matérielle 114.
Un document d' identité intégrant une micro puce 108 est inséré dans l'imprimante de bureau 111 ou placé sur le lecteur de carte à puce 105 durant la personnalisation électronique .
Le poste de travail 101 exécute le logiciel de personnalisation graphique qui communique directement avec l'imprimante 111 pour la personnalisation graphique du document 108. Le logiciel de personnalisation exécute également un logiciel ou un script qui transfère les données électroniques appropriées au dispositif de personnalisation 104 dans un format standardisé tel que XML, JSON ou Base64.
Le dispositif de personnalisation 104 s'occupe entièrement de la personnalisation électronique du document 108 consistant en : la préparation de la structure de données logique (SDL) à écrire dans la structure de fichiers de la micro-puce du document 108, la signature numérique des données et 1 'encodage des données dans la micro puce du document 108. Dans le cas où un texte et/ou
un code imprimable doivent être imprimés sur le document 108, le dispositif de personnalisation 104 produit et renvoie au poste de travail 101 les données de personnalisation structurées et signées sous forme de texte et/ou de code imprimable.
Le poste de travail 101 est ainsi relié d'une part au dispositif de personnalisation 104 pour la personnalisation électronique du document 108 et d'autre part à l'imprimante 111 pour la personnalisation graphique du document 108. Les données cryptographiques sensibles (par exemple, la ou les clés sensibles utilisées pour signer numériquement les données électroniques qui sont ensuite encodées dans la micro puce du document électronique 108 et/ou encodées sous forme de texte et/ou de code imprimable et/ou de code magnétique) sont stockées et protégées par le HSM 109 local qui peut être un HSM à base de carte à puce ou n'importe quel HSM qui implémente ou non l'interface standard de type PKCS#11.
Le HSM 109 fournit un moyen sécurisé pour générer et stoker les clés privées de signature de façon sûre par exemple en stockant la clé sous une forme chiffrée, à la différence d'une solution logicielle de stockage dans laquelle la clé privée est disponible en clair en mémoire, la rendant vulnérable à différentes attaques. La clé privée servant à signer numériquement les certificats peut parfois même ne jamais être extractible du HSM 109. Ainsi, la protection de la clé privée par le HSM 109 assure une protection accrue contre l'établissement non autorisé de certificats frauduleux. Grâce à l'emploi du HSM 109, toutes les clés sensibles sont protégées par un module inaltérable .
Dans cette première variante, l'infrastructure à clé publique (PKI) est considérée hors ligne et distribuée.
La Figure IB illustre une seconde variante d'un environnement de production de document d' identité dit « en ligne ».
Dans cette seconde variante, le poste de travail 101 est en outre relié à un server avec HSM 113 déporté sur le réseau protégeant les clés cryptographiques sensibles, par l'intermédiaire d'un réseau de communication 115 (par exemple, Intranet ou Internet) . L'émission de document est décentralisée en ce sens que le poste de travail 101 peut être situé dans un emplacement différent du serveur avec HSM 113 qui est déporté sur le réseau donc en ligne.
L'infrastructure à clé publique (PKI) est dite « centralisée » et, à chaque fois qu'un document électronique 108 est produit, la signature numérique est calculée d'une manière centralisée. Le HSM centralisé 113, déporté sur le réseau, peut être implémenté par exemple par une carte PCI, une carte réseau ou à base de carte à puce.
L'échange des données entre le système central et le lieu d'émission de document peut être sécurisé par exemple par un protocole tel que « Secure Socket Layer » (SSL) .
Il est à noter que, pour les deux variantes des Figures IA et IB, il est possible d'envisager que le poste de travail 101 serve également de station d'enrôlement (logiciel d'enrôlement avec une caméra, un module d'acquisition de signature papier, un capteur d'empreinte digitale, etc.) . Dans ce cas, le document d'identité 108 sécurisé peut être émis en juste quelques minutes.
La Figure IC illustre une troisième variante d'un environnement de production de document d' identité dit « centralisé ».
Dans cette troisième variante, une imprimante de type machine industrielle à grande vitesse 117 est utilisée au lieu d'une imprimante de bureau 111.
Dans cette troisième variante, le poste de travail 101 est relié au dispositif de personnalisation 104, lui-même relié à un lecteur de carte à puce 105 intégré dans l'imprimante de type machine industrielle à grande vitesse 117. Le dispositif de personnalisation 104 peut également être relié à divers capteurs et périphériques (non représentés à la Figure IC) tels que des relais, des détecteurs de présence, des diodes électroluminescentes, des boutons, des moteurs, des caméras et/ou des scanners intégrés dans la machine industrielle à grande vitesse 117.
Le dispositif de personnalisation 104 est relié, par un port d'entrées/sorties 118, soit directement aux capteurs de l'imprimante industrielle 117 soit indirectement, comme illustré à la Figure IC, par l'intermédiaire d'un automate programmable industriel 116 (« Programmable Logic Controller », PLC, selon la terminologie anglo-saxonne ) .
La Figure 1D illustre une quatrième variante d'un environnement de production de différents types de documents d' identité tels que des passeports et des cartes d' identité .
L'environnement illustré à la Figure 1D est une variante de celui illustré à la Figure IA.
Le dispositif de personnalisation 104 est en outre connecté à un second lecteur de carte à puce 105 qui est intégré dans une imprimante à carte à puce 119.
Dans cette quatrième variante, le dispositif de personnalisation 104 est utilisé pour personnaliser simultanément et en parallèle deux types différents de
documents d' identité tels que des passeports et des cartes d'identité électroniques.
La Figure 1E illustre une cinquième variante d'un environnement de production de documents source tels que des certificats d'état civil et/ou des diplômes, dit « à signature en ligne ».
Deux postes de travail 101 et 102 sont connectés au dispositif de personnalisation 104 par l'intermédiaire d'un réseau de communication 115 constitué par exemple d'un routeur 123 et d'une borne d'accès WIFI 124. Le poste de travail 101 est relié au réseau 115 par liaison filaire tandis que le poste de travail 102 est relié au réseau 115 de manière sans fil.
Le dispositif de personnalisation 104 est relié à la borne d'accès 124 de manière sans fil. Une clé de protection 114 amovible est reliée au dispositif de personnalisation 104. Le dispositif de personnalisation 104 soit est intégré directement sans boîtier dans une imprimante classique 121, soit est protégé par un boîtier et est apposé sur l'imprimante classique 121 comme illustré à la Figure 1E. L'imprimante classique 121 est reliée à la borne d'accès 124 de manière sans fil.
Le dispositif de personnalisation 104 est en outre relié à un serveur avec HSM 113 déporté sur le réseau 115 protégeant les clés cryptographiques sensibles pour la génération de la ou des signatures numériques.
Dans ce cas d'utilisation, les données du document à certifier sont envoyées au dispositif de personnalisation 104 à travers le réseau de communication 115. Le dispositif de personnalisation 104 organise les données électroniques selon la norme VDS de l'ICAO, signe électroniquement les données à l'aide du HSM 113 déporté sur le réseau 115 et renvoie le code VDS au poste de
travail 101 et/ou 102 pour impression graphique sur le document par l'imprimante 121.
Si l'on se réfère aux Figures 2A à 2C, on peut voir qu' il y est représenté trois variantes différentes de boîtier 200 du dispositif de personnalisation de document d'identité 104 selon la présente invention.
Le boîtier 200 peut comporter un ou plusieurs ports USB 202, un ou plusieurs ports Ethernet 201, une ou plusieurs fentes 204 pour mémoire externe 204a (telle qu'une carte mémoire au format Micro SD), un connecteur pour une alimentation 203, un ou plusieurs indicateurs lumineux 207 (tels que des diodes électroluminescentes) pour indiquer l'état de fonctionnement du dispositif 104 (par exemple, couleur verte pour « Prêt », couleur rouge pour « Erreur » et couleur orange pour « Traitement en cours ») , ainsi qu'un connecteur pour des ports d'entrées/sorties (non représenté aux Figures 2A à 2C) .
Le ou les lecteurs de carte à puce 105 peuvent être reliés aux ports USB 202.
Le poste de travail 101, 102 peut être relié au port Ethernet 201.
Un ou plusieurs circuits cryptographiques peuvent être reliés aux ports USB 202, tels que la clé de sécurité matérielle 114 sous forme de clé mini USB et le HSM 109 à base de carte à puce sous forme de clé mini USB.
Le boîtier 200 peut également comprendre des caoutchoucs 208, 210 pour protéger le boîtier 200 des chutes, des mécanismes tels que des conduits 206 afin de ventiler le boîtier 200, une serrure de sécurité 205 pour un câble de sécurité, et un bouton 214 pour mettre le dispositif de personnalisation 104 sous tension. Le boîtier 200 peut être en métal et/ou blindé et/ou en plastique.
Le dispositif de personnalisation 104 est ainsi un système embarqué mobile et universel qui peut être intégré dans ou relié à n'importe quel type d'imprimantes telles que les imprimantes industrielles ou les imprimantes de bureau.
Si l'on se réfère à la Figure 3A, on peut voir qu' il y est représenté une vue fonctionnelle du dispositif de personnalisation 104 qui illustre l'interaction entre les différents composants matériels et logiciels de celui- ci .
Le dispositif de personnalisation 104 comporte cinq modules principaux : un module de coordination 330, un module de structuration de données 331, un module de génération de signature 332, un module d'encodage 333 et un module de stockage sécurisé 339.
Le dispositif de personnalisation 104 comporte en outre cinq interfaces principales: une interface d' émission-réception de données (désignée INT_ACQ) 340, une interface de HSM (désignée INT_HSM) 342, une interface de lecteur de carte à puce (désignée INT_RD) 343, une interface d' entrée/sortie (désignée INT_IO) 344 reliée à un adaptateur d' entrée/sortie 334, et une interface de clé de sécurité (désignée INT_DONGLE) 349.
Le module de coordination 330 est responsable de coordonner les différents modules 331, 332, 333, 334, 339 et d'envoyer les données reçues et/ou acquises en provenance du poste de travail 101 par l'interface INT_ACQ 340 aux modules appropriés 331, 332, 333, 334, 339. Le module de coordination 330 comprend une interface interne (désignée INT_COR_CLT) 350 respectivement reliée à une interface interne (désignée INT_STR_SVR) 351 du module de structuration de données 331, à une interface interne (désignée INT_SIG_SVR) 352 du module de génération de
signature 33) , à une interface interne (désignée INT_ENC_SVR) 353 du module d'encodage 333, à l'adaptateur d' entrée/sortie 334 et à une interface interne (désignée INT_T0_SVR) du module de stockage sécurisé 339. Les interfaces serveur (INT_SVR) et l'interface client (INT_CLT) permettent de pouvoir exécuter les modules sous forme de micro-services, éventuellement déportés sur le réseau .
Le module de structuration de données 331 est responsable de créer, à partir des données de personnalisation reçues, une structure de données logique (SDL) selon la norme ICAO9303 des données à stocker dans la micro-puce d'un document d'identité électronique et/ou à encoder sous forme de texte et/ou de code imprimable.
Le module de génération de signature 332 est responsable de signer numériquement la structure de données logique (SDL) créée par le module de structuration de données 331 selon la norme ICAO9303.
La clé cryptographique utilisée pour la signature numérique est protégée par le module de protection de clés cryptographiques HSM 335 relié au module de génération de signature 332 par l'interface INT_HSM 342. Le dispositif de personnalisation 104 peut implémenter une interface cryptographique standard, telle que PKCS#11, afin de faciliter l'intégration de différents types de modules HSM matériels et/ou logiciels.
Dans le cas d'une émission instantanée de titres d'identité, le HSM 335 peut être implémenté par un HSM à base de carte à puce au format compact, tel qu'une clé USB au format mini USB, pour une plus grande mobilité du dispositif 104.
Dans le cas d'une émission de titres d'identité centralisée, le HSM 335 peut être implémenté par n'importe
quel type de matériel, tel qu'un HSM réseau LAN ou à base de carte à puce, ou encore par du logiciel.
Le module d'encodage 333 est responsable : d'établir la communication sécurisée par protocole d'authentification mutuelle, par exemple par établissement d'une session sécurisée à l'aide de la/des clés de transports suivant une authentification mutuelle selon le standard ICAO903 et BSI TR 03-137, avec la micro puce du document d'identité et d'envoyer les commandes APDU selon le standard ISO/IEC 7816 de personnalisation à la micro puce du document d'identité électronique, le module d'encodage 333 étant relié par l'interface INT_RD 343 au lecteur de carte à puce 105 à contact / sans contact et/ou à double interface autonome ou incorporé dans une imprimante ; et/ou d'encoder la structure de données logique (SDL) contenant au moins une signature sous forme de code VDS .
Le dispositif de personnalisation 104 peut être relié par l'interface INT_IO 344 à divers périphériques tels qu'un relais 338, un capteur 337, une caméra et/ou un scanner 336.
Le module de stockage sécurisé 339 est responsable de stocker les informations sensibles de paramétrage du dispositif de personnalisation 104 de façon chiffrée afin d'en assurer la confidentialité, lesdites informations sensibles pouvant être la ou les clés de transport, le code source sensible du logiciel, ou le code PIN pour débloquer le HSM 335.
La clé cryptographique utilisée pour le chiffrement de données par le module de stockage sécurisé 339 peut être protégée par une clé de protection matérielle 370 reliée au module de stockage sécurisé 339 par l'interface INT_DONGLE 349. La clé de protection matérielle
370 peut également stocker dans sa mémoire sécurisée tout ou partie des informations sensibles de paramétrage du dispositif de personnalisation 104.
Si l'on se réfère à la Figure 3B, on peut voir qu' il y est représenté un diagramme séquentiel qui illustre un exemple d' interactions possibles entre les différents modules du dispositif de personnalisation 104.
Le module de coordination 330 est le module auquel tous les autres modules du dispositif de personnalisation 104 sont reliés.
Le diagramme séquentiel de la Figure 3B illustre un exemple possible de personnalisation électronique avec une imprimante industrielle à grande vitesse 117, pour laquelle un capteur 337 de présence détecte l'arrivée d'un document. Le dispositif de personnalisation 104 récupère alors l'identifiant unique (UID) du document, tel que le numéro unique du document ou le numéro unique de la micro puce du document, par l'intermédiaire d'un capteur (tel qu'une caméra 336 ou un lecteur de cartes à puce 105) et transfère ces informations au poste de travail 101. Le poste de travail 101 renvoie alors au dispositif de personnalisation 104 les données du titulaire du document à personnaliser électroniquement dans la micro-puce et/ou pour l'encodage du texte et/ou du code imprimable.
Le dispositif de personnalisation 104 effectue alors la personnalisation électronique complète du document consistant en la création de la structure de données logique à écrire dans la structure de fichiers de la micro puce, la signature numérique des données et 1 'écriture des données dans la micro-puce et/ou le renvoie au poste de travail 101 de la structure de données signée sous forme de texte et/ou de code imprimable.
Le diagramme séquentiel de la Figure 3B illustre un cas d'utilisation de personnalisation électronique à titre d'exemple composé de vingt étapes élémentaires qui sont les suivantes :
- le capteur 337 détecte 303 la présence d'un document et en informe le module de coordination 330;
- le module de coordination 330 remonte 304 l'information au poste de travail 101 ; le protocole WebSocket étant bidirectionnel, le module de coordination, bien qu'il implémente la partie serveur du protocole, peut initier la communication avec le client (la station de travail) . Si le protocole n'avait pas été bidirectionnel, la communication n'aurait été possible qu'à l'initiative du client ;
- le poste de travail 101 demande 305 au module de coordination 330 de récupérer l'identifiant (ID) unique du document ;
- le module de coordination 330 transfère 306 la demande au module gérant la caméra 336 ; le module de coordination 330 pourrait également récupérer l'identifiant unique du document par l'intermédiaire d'un autre dispositif que la caméra 336, par exemple par l'intermédiaire d'un lecteur de carte à puce 105 ;
- la caméra 336 lit 307 l'identifiant unique (UID) du document et le retourne au module de coordination 330 ;
- le module de coordination 330 transmet 308 l'UID au poste de travail 101 ; il est à noter que, bien que les étapes 303-308 soient déclenchées par le capteur 337, le poste de travail 101 pourrait également directement déclencher la demande de récupération de l'UID du document ;
- le poste de travail 101 transfère 309 au module de coordination 330 les données complètes pour la personnalisation, telles que l'identifiant de la clé pour la signature numérique, les caractéristiques du document, les données du document et/ou les caractéristiques d'encodage ;
- le module de coordination 330 envoie 310 les données, transformées ou non, au module de structuration de données 331 ;
- le module de structuration de données 331 structure 311 les données et les renvoie au module de coordination 330 ;
- le module de coordination 330 envoie 312 les données, transformées ou non, au module de génération de signature 332 ; le module de coordination 330 est également apte à récupérer des informations telles que le code PIN afin de débloquer le HSM 335 depuis la clé de protection 370 ;
- le module de génération signature 332 prépare 313 un certificat numérique et demande au module cryptographique, tel que le HSM 335, de signer numériquement ce dernier ;
- le module cryptographique HSM 335, qui protège les clés cryptographiques sensibles, calcule 314 la signature numérique et retourne le résultat au module de génération de signature 332 ;
- le module de génération de signature 332 renvoie 315 les données signées au module de coordination 330 ; le module de coordination 330 pourrait également renvoyer les données signées au poste de travail 101 à ce stade, ceci pouvant avoir un intérêt si le poste de travail 101 souhaite préparer les données signées à l'avance pour
des raisons d'amélioration de performances, le module de coordination 330 pourrait alors, dans cette éventualité, recevoir du poste de travail 101 des données déjà préparées et signées à transférer directement au module d'encodage 333 ;
- le module de coordination 330 envoie 316 les données, transformées ou non, au module d'encodage 333 ; le module de coordination 330 pourrait également récupérer des informations, telles que la ou les clés de transport, depuis la clé de protection 370 ;
- le module d'encodage 333 envoie 317 les données au lecteur de carte à puce 105 et/ou encode les données sous forme de texte et/ou de code imprimable ;
- le lecteur de carte à puce 105 écrit 318 les données dans le système de fichiers de la micro puce du document 108 ;
- la micro puce du document 108 renvoie 319 le statut de l'encodage de la micro puce au lecteur de carte à puce 105 ;
- le lecteur de carte à puce 105 renvoie 320 le statut de l'encodage de la micro puce au module d'encodage 333 ;
- le module d'encodage 333 renvoie 321 le statut de 1 'encodage de la micro-puce au module de coordination 330 et/ou renvoie le code imprimable au module de coordination 330 dans le cas d'une génération d'un texte et/ou d'un code imprimable ; et
- le module de coordination 330 renvoie 322 le statut de l'encodage au poste de travail 101 dans le cas de l'encodage de la micro puce et/ou renvoie le texte et/ou le code imprimable au poste de travail 101 ; le module de coordination 330 pouvant, par l'intermédiaire de l'adaptateur d'entrée/sortie, activer n'importe quel
périphérique, tel qu'un relais ou un indicateur lumineux, dans le cas où une erreur viendrait à se produire .
Si l'on se réfère à la Figure 4, on peut voir qu' il y est représenté un diagramme de flux de données représentant un exemple de flux des données et de son traitement par le dispositif de personnalisation 104.
Les données reçues en provenance du poste de travail 101 (désignées données d'entrée) sont d'abord structurées par le module de structuration de données 331, puis signées numériquement par le module de génération de signature 332 et enfin encodées dans la micro puce et/ou sous forme de texte et/ou de code imprimable (désignées données de sortie 409) par le module d'encodage 333. Chacun du module de structuration de données 331, du module de génération de signature 332 et du module d'encodage 333 comprend un journal d'audit 406, 408, 410.
Les données d'entrée sont transférées sous une forme normalisée par un protocole de communication standard, tel que WebSocket, par le poste de travail 101 au dispositif de personnalisation 104. Elles contiennent les informations du titulaire du document (telles que le nom du porteur de document, sa date de naissance, sa nationalité, la photo de son visage et/ou toute autre information d'identification) ainsi que les informations du document lui-même (telles que son numéro unique, sa date d'émission, sa durée de validité, l'autorité émettrice) et peuvent contenir une ou plusieurs données biométriques de l'individu porteur du document (par exemple son portrait, sa ou ses empreintes digitales, les caractéristiques de la rétine ou de l'iris), désignées sous le nom de « données » 403 qui sont envoyées au module de structuration de données 331. Par ailleurs, les données d'entrée peuvent également
contenir des informations sur les mécanismes et protocoles cryptographiques implémentés par la micro puce pour protéger les données stockées électroniquement dans la micro-puce et pour en empêcher l'accès non autorisé, aussi bien que pour en vérifier l'intégrité et l'authenticité (telles que des informations sur l'authentification active (AA), le mécanisme de contrôle d'accès étendu (EAC) , le mécanisme de contrôle d'accès supplémentaire (SAC), le certificat de vérification du pays émetteur (CVCA) , dans le cas d'un document conforme aux normes de l'ICAO9303) désignées sous le nom de « données spécifiques de structuration de données » 402 qui sont envoyées au module de structuration de données 331.
Les données de sortie du module de structuration de données 331 sont les données structurées non signées 405, telles qu'une structure non signée SDL dans le cas d'un document conforme à l'ICAO9303 et/ou l'ISO18013. Ces données structurées non signées 405 sont utilisées comme données d'entrée pour le module de génération de signature
332. D'autre part, le module de génération de signature 332 prend également comme données d'entrée, les informations sur les paramètres de la signature numérique (telles que l'identifiant de la clé cryptographique et l'algorithme de la signature numérique, le code de PIN pour débloquer le HSM 335) . Ces données sont désignées sous le nom de « données spécifiques de module de signature » 401. Les données en sortie 407 du module de génération de signature 332 sont structurées et signées et sont prêtes à être encodées dans une micro puce et/ou sous forme de texte et/ou de code imprimable.
Les données structurées et signées 407 sont utilisées comme données d'entrée pour le module d'encodage
333. Le module d'encodage 333 prend également comme entrée
des informations sur la micro puce (telles que la ou les clés de transport, le fabricant de la micro puce, la version du système d'exploitation, les scripts, le numéro de fente du lecteur de carte à puce) , désignées sous le nom de « données spécifiques de module d'encodage » 404, afin de programmer électroniquement la micro puce et/ou de calculer un texte et/ou un code imprimable.
Le dispositif de personnalisation 104 est conçu de telle sorte que chaque module 331, 332, 333 ne garde pas d'informations sur son état précédent ni les informations précédemment traitées, signifiant que chaque module 331, 332, 333 reçoit pour données d'entrée : les données à traiter ainsi que les données configurant le comportement du module lui-même. Chaque module 331, 332, 333 ne garde donc pas son état précédent. Cette propriété permet d'utiliser le même dispositif de personnalisation 104 pour produire différents types de documents (par exemple aussi bien des cartes nationales d'identité que des passeports électroniques) .
Si l'on se réfère à la Figure 5A, on peut voir qu'il y est représenté un schéma fonctionnel d'un dispositif de personnalisation de document d'identité 500 selon l'invention.
Un poste de travail 101 est relié au dispositif de personnalisation 500 par l'intermédiaire d'une connexion réseau 503 et d'un adaptateur d' entrée/sortie (E/S) réseau 502, tels qu'une connexion réseau filaire type Ethernet ou une connexion réseau sans fil type WiFi. Le protocole de communication entre le poste de travail 101 et le dispositif de personnalisation 500 est réalisé par l'intermédiaire d'une pile de communication réseau 509 qui peut être implémentée dans un module de coordination 510. La pile de communication réseau 509 implémente un protocole
de communication standard, tel que le protocole temps réel, bidirectionnel, duplex intégral, avec peu de surcharge système, sécurisé, et standard désigné sous le nom de WebSocket sécurisé avec TLS/SSL ou un tout autre protocole standardisé tel qu'un courtier de messages.
Le dispositif de personnalisation 500 est caractérisé par le fait que la logique métier de personnalisation électronique est totalement séparée de l'interface utilisateur graphique (GUI) du logiciel de personnalisation graphique s 'exécutant sur le poste de travail 101. L'utilisation d'un protocole de transmission standard entre le poste de travail 101 et le dispositif de personnalisation 500 permet de séparer la logique métier de la GUI. De plus, l'utilisation d'un protocole standardisé permet d'interfacer facilement n'importe quel logiciel graphique de personnalisation avec le dispositif de personnalisation 500. En effet, les protocoles standards sont implémentés dans une multitude de langages de programmation et notamment les plus connus tels que les langages C, Java, C++, Javascript et Python. Par conséquent, puisque le logiciel de personnalisation graphique est développé dans un langage de programmation, il est possible soit d'intégrer le protocole standardisé directement dans le logiciel de personnalisation graphique par développement spécifique soit par l'intermédiaire d'un script (tel que Javascript ou Python) . Par ailleurs, le module de coordination 510 implémente une pile de parseur de données 511 (comme les langages de balisage XML, JSON, ou Base64), permettant l'échange de données basées sur du texte, non dépendant du matériel et/ou des systèmes d'exploitation.
Un module de stockage sécurisé 514 est implémenté par un circuit cryptographique aussi désigné sous le nom de
clé de protection 520, ladite clé de protection 520 étant reliée au module de stockage sécurisé 514 par l'intermédiaire d'un adaptateur série/réseau 505. Le module de stockage sécurisé 514 contient des données sensibles, telles que le code source du logiciel, et/ou des données de paramétrage de configuration, telles que le code PIN pour débloquer un HSM 519 et/ou les données de configuration telles que les données spécifiques de signature numérique, les données spécifiques de préparation de données et/ou les données d'encodage et/ou les scripts spécifiques d'encodage d'une micro puce. Le dispositif de personnalisation 500 est caractérisé par le fait qu'il peut ne pas être fonctionnel sans présence physique ou logique de la clé de protection 520 protégeant le module de stockage sécurisé 514.
Le dispositif de personnalisation 500 comprend également un module de structuration de données 517 configuré pour structurer les données de personnalisation en provenance du module de coordination 510.
Le dispositif de personnalisation 500 comprend en outre un module de génération de signature 512 qui est relié à un circuit cryptographique de signature numérique aussi désigné sous le nom de module de sécurité matériel (HSM) 519, ledit HSM 519 étant relié au module de génération de signature 512 par l'intermédiaire d'un adaptateur série/réseau 504. Le circuit cryptographique de signature numérique HSM 519 est implémenté par du matériel inaltérable (tel qu'un HSM à base de carte à puce) directement relié au dispositif de personnalisation 500, mais il pourrait également être déporté dans d'autres emplacements appropriés de l'environnement de génération de document. Par exemple, le circuit cryptographique de signature numérique HSM 519 pourrait être accessible à travers le réseau, tel que par un réseau privé virtuel
(VPN) par exemple. Le circuit cryptographique de signature numérique HSM 519 pourrait également être implémenté par du logiciel .
Le circuit cryptographique de signature numérique HSM 519 fournit un emplacement sécurisé pour produire et stocker la ou les clés cryptographiques sensibles de signature numérique stockées de façon chiffrés ou non. La clé cryptographique employée pour signer des données peut également ne pas être extractible du HSM 519.
Le module de génération de signature 512 et le HSM 519 implémentent une interface de programmation (API, « Application Programming Interface » en terminologie anglo- saxonne) cryptographique, respectivement 513 et 521, telle que PKCS#11.
Le dispositif de personnalisation 500 est caractérisé par le fait qu'il ne peut pas produire de signature numérique sans la présence physique ou logique de la clé de protection 520.
Le dispositif de personnalisation 500 comprend en outre un module d'encodage 518 qui implémente un module d'analyseur de script 516. Le module d'analyseur de script 516 peut implémenter la possibilité d'exécuter des scripts de pré-personnalisation utilisés pour l'initialisation de la structure de fichiers de la micro puce d'un document d'identité 525 avant la personnalisation de cette dernière. Le module d'analyseur de script 516 peut, par conséquent, optimiser le processus industriel de la personnalisation de la micro puce en supprimant l'étape de pré-personnalisation de la micro puce.
Un lecteur de carte à puce 527 est relié au module d'encodage 518 par l'intermédiaire d'un adaptateur série 526, le lecteur de carte à puce 527 permettant de programmer la micro puce du document d'identité 525.
Une caméra 524 peut être connectée au dispositif de personnalisation 500 par l'intermédiaire d'un adaptateur série/réseau 528.
Le dispositif de personnalisation 500 comprend en outre une unité centrale de traitement (CPU) 508 qui peut implémenter une architecture CISC (calcul à jeu d'instructions complexe, « Complex Instruction Set Computing », en terminologie anglo-saxonne) ou RISC (ordinateur à jeu d'instructions réduit, « Reduced Instruction Set Computer », en terminologie anglo-saxonne) .
Un ordinateur mono-carte (abrégé parfois SBC, de l'anglais « Single-Board Computer ») tel que 1 'UP Board® est un exemple d'unité de traitement à architecture CISC.
Un ordinateur mono-carte tel que le Raspberry Pi 3® est un exemple d'unité de traitement à architecture RISC.
Le dispositif de personnalisation 500 comprend en outre une horloge temps réel 507 avec une batterie, l'horloge temps réel 507 étant implémentée en particulier pour horodater les différents journaux des différents modules .
Le dispositif de personnalisation 500 comprend également un adaptateur d'entrée-sortie 506, des dispositifs périphériques d'entrée/sortie 523, tels que des relais, des diodes électroluminescentes, des boutons ou un détecteur de présence 515, pouvant être reliés soit directement à l'adaptateur d'entrée-sortie 506 soit par l'intermédiaire d'un contrôleur programmable (PLC) (non représenté à la Figure 5A) .
La communication 522 entre les différents modules (module de coordination 510, module de génération de signature 512, module de structuration de données 517, etc.) peut être réalisée par une simple interface de
programmation d'application (API) ou par un pile de communication réseau. L'avantage de cette dernière est qu'elle permet de faire communiquer différents modules programmés dans différents langages de programmation (par exemple, le module de génération de signature 512 peut être programmé dans le langage C tandis que le reste des modules peuvent être programmés en langage JAVA) et/ou qu'elle permet d'exécuter certains modules déportés sur le réseau (par exemple, le module de génération de signature 512 pourrait s 'exécuter sur un serveur distant du réseau) . Chaque module devient alors un « micro-service » qui peut s'exécuter de manière déportée sur le réseau.
Le dispositif de personnalisation 500 est alimenté électriquement par une source de puissance 501.
Si l'on se réfère à la Figure 5B, on peut voir qu' il y est représenté un schéma fonctionnel additionnel du dispositif de personnalisation 500 complétant celui de la Figure 5A.
Le dispositif de personnalisation 500 implémente un système d'exploitation (OS) 530 haut niveau, tel que UNIX, Windows, Mac OS ou GNU/Linux.
Les différents modules du dispositif de personnalisation 500 peuvent être implémentés en tant qu ' applications natives 528 (par exemple, programmés en langage C) comprenant le module de structuration de données 517a, le module de génération de signature 512a avec sa pile cryptographique 513a, le module de coordination 510a avec sa pile de communication réseau 509a et sa pile de parseur de données 511a, le module d'encodage 518a avec son module d'analyseur de script 516a et un module cryptographique 536. Les différents modules du dispositif de personnalisation 500 peuvent également être implémentés en tant qu ' applications portables (applets) 539,
s'exécutant sur une machine virtuelle 531 telle qu'une machine virtuelle Java, comprenant le module de structuration de données 517b, le module de génération de signature 512b avec sa pile cryptographique 513b, le module de coordination 510b avec sa pile de communication réseau 509b et sa pile de parseur de données 511b et le module d'encodage 518b avec son module d'analyseur de script 516b. L'avantage de cette dernière approche est que les modules peuvent alors s'exécuter sur n'importe quelle plate-forme matérielle à la condition que la machine virtuelle 531 soit implémentée sur cette plateforme.
Le circuit cryptographique HSM 519 utilisé pour la génération de la signature numérique et le circuit cryptographique clé de sécurité 520 utilisé pour la protection du module de stockage sécurisé 514 sont chacun implémentés par un microprocesseur sécurisé 532, 534 et un système d'exploitation 533, 535 (par exemple, un système d'exploitation natif et/ou à base de machine virtuelle tel que JavaCard) . Le circuit cryptographique HSM 519 et le circuit cryptographique clé de sécurité 520 comprennent chacun un adaptateur série/réseau 540, 541 configuré pour être relié à l'adaptateur série/réseau 504, 505 correspondant du dispositif de personnalisation 500.
Si l'on se réfère à la Figure 6, on peut voir qu' il y est représenté un organigramme illustrant un exemple de procédé de fonctionnement du dispositif de personnalisation de document d'identité 500 selon 1' invention .
Le procédé de fonctionnement démarre à l'étape
601.
Le dispositif de personnalisation 500 exécute un autodiagnostic à l'étape 602 lors de sa mise sous tension ou lors de sa première utilisation. Si les diagnostics sont
positifs, le dispositif de personnalisation 500 est alors prêt à recevoir des instructions en provenance du poste de travail 101 et/ou des événements détectés par un ou plusieurs capteurs, tels qu'un bouton ou un détecteur de présence, à l'étape 603.
À la réception 604 d'une instruction de demande de diagnostic, le dispositif de personnalisation 500 renvoie l'état des diagnostics au poste de travail 101 à l'étape 605.
À la réception 604 d'une instruction de demande de signature, le dispositif de personnalisation 500 réalise une structuration des données à l'étape 606 et les signe numériquement à l'étape 607, le dispositif de personnalisation 500 pouvant utiliser le circuit cryptographique HSM 519 pour le calcul de la signature numérique .
Si le poste de travail 101 demande uniquement la signature des données à l'étape 608, le dispositif de personnalisation 500 renvoie uniquement les données signées sans les encoder à l'étape 609.
Si le poste de travail 101 demande également un encodage des données, le dispositif de personnalisation 500 encode les données dans la micro puce du document et/ou sous la forme d'un texte et/ou d'un code imprimable à l'étape 610. Le dispositif de personnalisation 500 incrémente (ou décrémente) un compteur interne à chaque nouveau traitement à l'étape 611, puis transmet l'état de l'encodage de la micro-puce et/ou l'encodage du texte et/ou du code imprimable au poste de travail 101 à l'étape 612.
Le dispositif de personnalisation 500 peut récupérer la ou les clés de transport à partir du module de stockage sécurisé 514 par la clé de sécurité 520 afin de pouvoir établir une session sécurisée avec la micro puce.
Le compteur interne peut être protégé par la clé de sécurité 520 et peut être employé par exemple pour restreindre le nombre d'utilisations du dispositif 500. Le dispositif de personnalisation 500 peut vérifier la valeur du compteur interne avant d'autoriser le traitement de 1 'encodage .
À la réception d'une instruction de demande d ' identifiant unique, le dispositif de personnalisation 500 récupère l'identifiant unique du document à l'étape 613, par exemple par l'intermédiaire de la caméra 524 ou du lecteur de carte à puce 527, et le transmet au poste de travail 101 à l'étape 614.
À la réception d'une instruction d'encodage uniquement, le dispositif de personnalisation 500 encode directement les données dans la micro puce et/ou sous forme de texte et/ou de code imprimable à l'étape 610.
À la réception d'un événement détecté par un capteur tel que le détecteur de présence, le dispositif de personnalisation 500 peut transmettre des informations au poste de travail 101.
Le dispositif de personnalisation 500 peut également traiter l'initialisation de la structure de fichiers de la micro puce, processus également connu sous le nom de « pré-personnalisation ».
Il est à noter que les bulles « 1 » et « 2 » dans l'organigramme de la Figure 6 indiquent respectivement des liaisons entre les différentes branches de l'organigramme.
Si l'on se réfère à la Figure 7, on peut voir qu' il y est représenté un schéma fonctionnel haut niveau d'un dispositif de personnalisation de document d'identité 700 selon l'invention.
Le dispositif de personnalisation 700 est un dispositif embarqué combinant à la fois du matériel et du logiciel .
Les modules principaux du dispositif de personnalisation 700 incluent une unité de puissance 701, un adaptateur réseau 702, un ou plusieurs adaptateurs série 703, un ou plusieurs adaptateurs d'entrée-sortie 704, une horloge temps réel 705, une unité centrale de traitement 706 avec de la mémoire 711, un module de communication réseau 707, un module de coordination 708, un module de parseur de données 709, un module de génération de signature 710, un module de capteurs 712, un module d'analyseur de script 713, un module de structuration de données 714, un module d'encodage 715 et un ou plusieurs modules cryptographiques 716.
La présente invention permet ainsi de transformer une imprimante « classique » en imprimante « intelligente » et, par conséquent, permet de transformer une infrastructure d'émission de documents d'identité non électroniques en infrastructure capable d'émettre des documents d' identité électroniques tout en réutilisant les bases de données, les logiciels graphiques de personnalisation et les imprimantes, évitant ainsi de remplacer entièrement l'équipement déjà existant.
Claims
REVENDICATIONS
1 - Dispositif de personnalisation de document d'identité (104, 500, 700), caractérisé par le fait qu'il comprend :
une interface d'émission-réception de données (340) configurée pour recevoir des données de personnalisation concernant un document d' identité ;
- un module de structuration de données (331, 517, 714) configuré pour structurer les données de personnalisation reçues conformément à l'un parmi le standard ICAO9303 ou VDS de l'organisation de l'aviation civile internationale, le standard ISO/IEC18013 et le standard Europay MasterCard Visa (EMV) ;
- un module de génération de signature numérique (332, 512,
710) configuré pour signer numériquement les données de personnalisation structurées à l'aide d'au moins une clé cryptographique stockée dans un module de sécurité matériel, HSM, (109, 335, 519) amovible ou stockée sur un serveur (113) distant en communication avec l'interface d'émission/réception de données (340) ; et
- un module d'encodage (333, 518, 715) configuré pour coder les données de personnalisation structurées signées, sur le document d'identité, sous au moins une forme parmi un texte, un code graphique, un code magnétique et un code électronique ;
le dispositif de personnalisation de document d'identité (104, 500, 700) comprenant en outre une clé de sécurité matérielle (114, 370, 520) amovible dans laquelle sont stockées des données sensibles de configuration du dispositif de personnalisation (104, 500, 700), les données sensibles de configuration étant au moins l'un parmi au moins une clé de transport, au moins une partie du code
source des différents modules du dispositif de personnalisation (104, 500, 700), un compteur incrémental/décrémental, et, le cas échéant, un code PIN destiné à activer le HSM (109, 335, 519) ;
le dispositif de personnalisation de document d'identité (104, 500, 700) étant intégré dans une imprimante (111, 117, 119, 121) ou relié à une imprimante
(111, 117, 119, 121) .
2 - Dispositif (104, 500, 700) selon la revendication 1, caractérisé par le fait que, lorsque les données de personnalisation structurées signées sont codées sous forme de texte, de code graphique ou de code magnétique, le module d'encodage (333, 518, 715) est configuré pour envoyer les données de personnalisation structurées signées codées à l'imprimante (111, 117, 119,
121) par l'intermédiaire de l'interface d'émission- réception de données (340).
3 - Dispositif (104, 500, 700) selon la revendication 1 ou 2, caractérisé par le fait que, lorsque les données de personnalisation structurées signées sont codées sous forme de code électronique, le dispositif de personnalisation (104, 500, 700) comprend en outre au moins un lecteur de carte à puce (105, 527) apte à communiquer avec la puce électronique d'un document d'identité de type à puce électronique (108, 525), ledit au moins un lecteur de carte à puce (105, 527) étant intégré dans l'imprimante
(111, 117, 119, 121) ou relié à l'imprimante (111, 117, 119, 121), le module d'encodage (333, 518, 715) étant configuré pour envoyer les données de personnalisation structurées signées codées à l'au moins un lecteur de carte à puce (105, 527) qui est configuré pour coder la puce électronique du document d'identité (108, 525) en fonction
des données de personnalisation structurées signées codées reçues .
4 - Dispositif (104, 500, 700) selon la revendication 3, caractérisé par le fait que l'au moins un lecteur de carte à puce (105, 527) est de type sans contact .
5 - Dispositif (104, 500, 700) selon l'une des revendications 1 à 4, caractérisé par le fait qu'il comprend en outre un module de stockage sécurisé (339, 514) relié à la clé de sécurité matérielle (114, 520) .
6 - Dispositif (104, 500, 700) selon l'une des revendications 1 à 5, caractérisé par le fait qu'il comprend en outre un module de coordination (330, 510, 708) configuré pour gérer le transfert des données reçues par l'intermédiaire de l'interface d'émission-réception (340) vers les différents modules du dispositif de personnalisation (104, 500, 700).
7 - Dispositif (104, 500, 700) selon l'une des revendications 1 à 6, caractérisé par le fait que l'interface d'émission-réception de données (340) est apte à communiquer, en liaison sans fil ou filaire, avec un poste de travail (101, 102) par l'intermédiaire d'un protocole de communication standardisé bidirectionnel en temps réel.
8 - Dispositif (104, 500, 700) selon l'une des revendications 3 à 7, caractérisé par le fait que le lecteur de carte à puce (105, 527) est relié au module d'encodage (333, 518, 715) par l'intermédiaire d'au moins l'une d'une interface USB CCID et d'une interface PC/SC.
9 - Dispositif (104, 500, 700) selon l'une des revendications 1 à 8, caractérisé par le fait que les différents modules du dispositif de personnalisation (104, 500, 700) sont mis en œuvre dans un mini-ordinateur.
10 - Dispositif (104, 500, 700) selon l'une des revendications 1 à 9, caractérisé par le fait qu'il comprend en outre au moins un port d' entrée/sort ie (334, 506) pour une liaison avec au moins un périphérique, tel qu'un relais (338), un capteur (337), une caméra ou un scanner (336) .
11 - Imprimante (111, 117, 119, 121) comprenant un dispositif de personnalisation de document d' identité (104, 500, 700) selon l'une des revendications 1 à 10.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1763331 | 2017-12-28 | ||
FR1763331A FR3076252B1 (fr) | 2017-12-28 | 2017-12-28 | Dispositif de personnalisation de document d'identite pour imprimante et imprimante le comprenant |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2019129482A1 true WO2019129482A1 (fr) | 2019-07-04 |
Family
ID=62455577
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2018/084223 WO2019129482A1 (fr) | 2017-12-28 | 2018-12-10 | Dispositif de personnalisation de document d'identite pour imprimante et imprimante le comprenant |
Country Status (2)
Country | Link |
---|---|
FR (1) | FR3076252B1 (fr) |
WO (1) | WO2019129482A1 (fr) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010007479A2 (fr) * | 2008-06-24 | 2010-01-21 | Gilles Leroux Industries | Appareil et procédé de génération d'un titre sécurisé à partir d'un titre officiel |
-
2017
- 2017-12-28 FR FR1763331A patent/FR3076252B1/fr not_active Expired - Fee Related
-
2018
- 2018-12-10 WO PCT/EP2018/084223 patent/WO2019129482A1/fr active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010007479A2 (fr) * | 2008-06-24 | 2010-01-21 | Gilles Leroux Industries | Appareil et procédé de génération d'un titre sécurisé à partir d'un titre officiel |
Also Published As
Publication number | Publication date |
---|---|
FR3076252A1 (fr) | 2019-07-05 |
FR3076252B1 (fr) | 2020-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9195983B2 (en) | System and method for a secure cardholder load and storage device | |
BE1025438B1 (nl) | Werkwijze voor het authenticeren van een financiële transactie in een blockchain‐gebaseerde cryptocurrency, smartcard en blockchain‐authenticatieinfrastructuur | |
EP1857953B1 (fr) | Procédé d'authentification et d'échange sécurisé de données entre une puce personnalisée et un serveur dédicacé, et ensemble pour la mise en oeuvre du procédé | |
EP1508883A2 (fr) | Système d'automatisation d'applications de carte de crédit | |
EP2370940B1 (fr) | Objet portable comportant un afficheur et application à la réalisation de transactions électroniques | |
KR20130108639A (ko) | 휴대용 자체준비형 핀 레드 통신기 | |
EP3132399B1 (fr) | Procédé de traitement de données transactionnelles, dispositif et programme correspondant | |
EP1332478A2 (fr) | Systeme d'identification electronique sans contact | |
CA2939016A1 (fr) | Procede et systeme de transaction electronique via un accessoire portable | |
EP2810231A1 (fr) | Système et procédé pour dispositif sécurisé de chargement de titulaire et de stockage | |
FR2908209A1 (fr) | Entite electronique portable et procede de personnalisation d'une telle entite electronique | |
CN102999839A (zh) | 一种基于云平台、虚拟se的电子货币安全支付系统和方法 | |
WO2019129482A1 (fr) | Dispositif de personnalisation de document d'identite pour imprimante et imprimante le comprenant | |
CA2310122A1 (fr) | Procede de gestion des donnees dans une carte a puce | |
FR2730076A1 (fr) | Procede d'authentification par un serveur du porteur d'un objet portatif a microprocesseur, serveur et objet portatif correspondants | |
WO2005066904A1 (fr) | Module electronique notamment pour terminal de paiement electronique | |
EP2696320A1 (fr) | Procédé de vérification d'authenticité, serveur, système et programme d'ordinateur correspondants | |
WO2023170186A1 (fr) | Dispositif portable et autonome de sécurisation de transfert de données et procédé correspondant | |
EP2867837B1 (fr) | Système de transmission sécurisée de données numériques | |
WO2020042050A1 (fr) | Système et procédé d'émission et de conversion de devise virtuelle dans un mode de ticket physique | |
KR20080042780A (ko) | 지능형 스마트 카드 운용 방법 | |
FR3068497A1 (fr) | Systeme et procede de definition d'un code personnel associe a un microcircuit | |
KR20040087537A (ko) | 지능형 스마트 카드와 지능형 스마트 카드 운용 방법 및시스템 | |
KR101020059B1 (ko) | 아이씨칩 내 작업 요소 파일 저장 영역의 조정 방법 | |
EP2306414A1 (fr) | Procédé de communication entre un lecteur et deux cartes à puce |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 18830402 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 18830402 Country of ref document: EP Kind code of ref document: A1 |