ISO/IEC 10181-5:1996

NORME ISO/CEI
INTERNATIONALE 10181-5
Première édition
1996-09-15
Technologies de l’information -
Interconnexion de systèmes ouverts
(OSI) - Cadres de sécurité pour les
systèmes ouverts: Cadre de confidentialité
Informa tien technolog y - Open Systems lnterconnection - Security
frameworks for open systems: Confidentiality framework
Numéro de référence
ISO/CEI 10181-5:1996(F)
ISOKEI 10181-5:1996(F)
Sommaire
Page
1 Domaine d’application .
Références normatives .
......................................................................
Recommandations I Normes internationales identiques
2.1
.......
Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
2.2
......................................................................................................................................................
3 Définitions
.......................................................................................
3.1 Définitions du modèle de référence de base
..............................................................................................
3.2 Définitions de l’architecture de sécurite
........................................................................
3.3 Définitions de l’aperçu général des cadres de sécurité
Définitions additionnelles .
3.4
...................................................................................................................................................
4 Abréviations
Présentation générale de la confidentialité .
Principes de base .
5.1
..............................................................................................
5.1.1 Protection des informations
....................................................................
5.1.2 Opérations de dissimulation et de révélation
...... ..-.....i...........-.......................~.................~....~ ............................
5 2 Types de services de confidentialité
.............................................................................................
5:3 Types de mécanismes de confidentialité
Menaces contre la confidentialité .
5.4
5.4.1 Menaces lorsque la confidentialité est assurée par des mesures visant a empêcher
l’accès .
......
Menaces lorsque la confidentialité est assurée par la dissimulation des informations
5.4.2
Types d’attaques contre la confidentialité .
55 .
...........................................................................................................................
6 Politiques de confidentialité
....................................................................................................................
61 . Expression des politiques
Caractérisation des informations .
6.1.1
6.1.2 Caractérisation des entités .
Informations et fonctions de confidentialite .
Informations de confidentialité .
7.1
............................................................... 9
Informations de confidentialité «dissimulation»
7.1.1
.................................................................... 9
7.1.2 Informations de confidentialité «révélation»
................................................................................................................ 9
7.2 Fonctions de confidentialité
Fonctions relatives à l’exploitation .
7.2.1
7.2.1.1 Dissimulation .
R&elation 9
7.2.1.2 .
Fonctions relatives a la gestion .
7.2.2
0 ISOKEI 1996
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne
peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou
mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.
ISO/CEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1997
Imprimé en Suisse
ii
ISOKEI 101814:1996(F)
0 ISOKEI
....................................................................................................................... 10
Mécanismes de confidentialité
................................ 10
8.1 Mise en œuvre de la confïdentialite par des mesures visant à empêcher l’accès
................. 10
81.1 Mise en œuvre de la confidentialité par la protection des supports physiques
Mise en œuvre de la confidentialité par le contrôle de l’acheminement . 10
8.1.2
Mise en œuvre de la confidentialité par le chiffrement . 10
8.2
8.2.1 Mise en œuvre de la confidentialité par le remplissage de données .
........................................ 11
8.2.2 Mise en œuvre de la confidentialité par des événements fictifs
Mise en œuvre de la confidentialite par la protection des en-têtes d’unité PDU . 11
8.2.3
8.2.4 Mise en œuvre de la confidentialité par des champs variant dans le temps. . 11
Mise en œuvre de la confidentialité par l’emplacement contextuel . 12
83 .
Interactions avec d’autres services et mécanismes de securité . 12
Contrôle d’accés . 12
9.1
,
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Annexe A - Confidentialité dans le modele de réference OS1
A. 1 Confidentialité en mode connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
A.2 Confidentialité en mode sans connexion
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A.3 Confidentialité sélective des champs
A.4 Confidentialité du flux de trafic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
........................................................................
A.5 Utilisation de la confidentialite dans les couches OS1
Utilisation de la confidentialité au niveau de la couche physique . 13
A.5.1
..................... 13
A.5.2 Utilisation de la confidentialité au niveau de la couche liaison de données
......................................... 14
A.5.3 Utilisation de la confidentialité au niveau de la couche réseau
..................................... 14
A.5.4 Utilisation de la confidentialité au niveau de la couche transport
A.5.5 Utilisation de la confidentialité au niveau de la couche présentation .
Utilisation de la confidentialité au niveau de la couche application .
A.5.6
Annexe B - Exemple de séquence de passages par différents contextes de protection de la confidentialité . . . . . . . . . . . .
Annexe C - Représentation des informations . . . . . . . . . . . . . . . . . . . . . . .*.
Annexe D - Voies occultes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Annexe E - Description générale des fonctions de confidentialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
E.l Entités de confidentialité
E.l.l Initiateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
E.1.2 Vérificateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
E.1.3 Tierce partie de confiance (TTP) pour les fonctions de confidentialité
. . .
ISOKEI 10181-5:1996(F) @ ISOKEI
Avant-propos
LIS0 (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes inter-
nationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de 1’ISO et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouverne-
mentales ou non gouvernementales, en liaison avec 1’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISO/CEI 1018 l-5 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de Z’information, sous-comité SC 21,
Interconnexion des systèmes ouverts, gestion des données et traitement distribué
ouvert, en collaboration avec KJIT-T. Le texte identique est publié en tant que
Recommandation UIT-T X.814.
L’ISOKEI 10181 comprend les parties suivantes, présentées sous le titre général
Interconnexion de systèmes ouverts (OSI) -
Technologies de 1 ‘information -
Cadres de sécurité pour les systèmes ouverts:
- Partie 1: Vue d’ensemble
- Partie 2: Cadre d’authentification
- Partie 3: Cadre de contrôle d’accès
Partie 4: Cadre de non-répudiation
- Partie 5: Cadre de confidentialité
- Partie 6: Cadre d’intégrité
- Partie 7: Cadre d’audit de sécurité
Les annexes A à E de la présente partie de l’ISO/CEI 1018 1 sont données unique-
ment à titre d’information.
iv
0 ISOKEI ISOKEI 10181-5:1996(F)
Introduction
De nombreuses applications de systèmes ouverts ont des exigences en matière de sécurité qui dépendent des mesures
prises pour empêcher la divulgation des informations. Ces exigences peuvent inclure la protection des informations
utilisées pour assurer d’autres services de sécurité tels que l’authentification, le contrôle d’accès ou l’intégrité qui, si elles
sont connues d’un «attaquant», risquent de réduire ou d’annihiler l’efficacité de ces services.
selon laquelle aucune information n’est communiquée ou divulguée à des individus,
La confidentialité est une propriété
entités ou processus non autorisés.
La présente Recommandation I Norme internationale définit un cadre général pour la fourniture de services de
confidentialité.
Page blanche
ISOKEI 10181-5 : 1996 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION - INTERCONNEXION DE SYSTÈMES
CADRES DE SÉCURITÉ POUR LES SYSTÈMES OUVERTS:
OUVERTS (OSI) -
CADRE DE CONFIDENTIALITÉ
1 Domaine d’application
La présente Recommandation I Norme internationale sur les cadres de sécurité pour les systèmes ouverts couvre
l’application des services de securite dans un environnement de systèmes ouverts, où le terme «systèmes ouverts»
s’applique notamment à des domaines tels que les bases de données, les applications distribuées, le traitement réparti
ouvert (ODP) et l’interconnexion OSI. Les cadres de sécurité ont pour but de définir les moyens d’assurer la protection
pour les systèmes et les objets a l’intérieur des systèmes, ainsi que les interactions entre les systèmes. Ils ne couvrent pas
la méthodologie de construction des systèmes ou mécanismes.
Les cadres de sécurité couvrent à la fois les éléments de données et les séquences d’opérations (mais non les éléments de
protocole) qui peuvent servir a obtenir des services de sécurité spécifiques. Ces services de sécurité peuvent s’appliquer
aux entités communicantes des systèmes ainsi qu’aux données échangées entre les systèmes et aux données gérées par les
systèmes.
traite de la confidentialité des informations lors de l’extraction,
La présente Recommandation I Norme internationale qui
du transfert et de la gestion des données
définit les concepts élémentaires de confidentialité;
1)
identifie les classes possibles de mécanismes de confidentialité;
2)
classe et identifie les fonctionnalités pour chaque classe de mécanisme de confidentialité;
3)
4) identifie les ressources de gestion requises pour prendre en charge les diverses classes de mécanisme de
confidentialité;
examine l’interaction des mécanismes de confidentialité et des services supports avec d’autres services et
5)
mécanismes de sécurité.
Plusieurs types de normes peuvent utiliser ce cadre de sécurité, notamment
les normes qui incorporent le concept de confidentialité;
les normes qui spécifient des services abstraits incluant la confidentialité;
2)
les normes qui spécifient les utilisations d’un service de confidentialité;
3)
les normes qui spécifient les moyens d’assurer la confidentialite dans une architecture de système ouvert;
4)
les normes qui spécifient les mécanismes de confidentialité.
De telles normes peuvent utiliser ce cadre de sécurité comme indiqué ci-dessous:
-
les normes des types l), 2), 3), 4) et 5) peuvent utiliser la terminologie de ce cadre de sécurité;
-
les normes des types 2), 3), 4) et 5) peuvent utiliser les fonctionnalités définies à l’article 7 de ce cadre de
sécurité;
les normes du type 5) peuvent être sur les classes de mécanisme définies à l’article
fondees 8 de ce
de sécurite.
Comme avec d’autres services de sécurité, la confidentialité ne peut être assurée que dans le contexte d’une politique de
sécurité déterminée pour une application particuliére. Les définitions de politiques de sécurité spéçifiques sortent du
cadre de la présente Recommandation I Norme internationale.
La présente Recommandation I Norme internationale n’a pas pour but de spécifier les détails des échanges de protocole
qu’il convient d’effectuer pour assurer la confidentialité.
La présente Recommandation I Norme internationale ne spécifie pas les mécanismes particuliers nécessaires pour assurer
ces services de confidentialité ni les détails complets des services et protocoles de gestion de sécurité. Les mécanismes
génériques nécessaires pour assurer la confidentialité sont décrits à l’article 8.
Rec. UIT-T X.814 (1995 F)
ISOKEI 1Olt-W5:1996 (F)
Certaines des procédures décrites dans ce cadre de sécurité assurent la confidentialité par l’application de techniques
cryptographiques. Ce cadre de sécurité ne dépend pas de l’utilisation d’algorithmes cryptographiques ou autres
particuliers mais certaines classes de mécanisme de confidentialité peuvent dépendre de propriétés d’algorithme
particulières.
NOTE - Bien que 1’ISO ne normalise pas les algorithmes cryptographiques, elle normalise néanmoins les procédures
utilisées pour les enregistrer dans l’ISO/CEI 9979: 199 1 - Procédures pour l’enregistrement des algorithmes cryptographiques.
Ce cadre de sécurite s’applique à la mise en œuvre de la confidentialité lorsque les informations sont représentées par des
données dont la lecture est accessible à d’éventuels «attaquants». Son domaine d’application englobe la confidentialité du
flux de trafic.
2 Références normatives
Les Recommandations et les Normes internationales suivantes contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente Recommandation I Norme internationale. Au
moment de la publication, les éditions indiquées étaient en vigueur. Toutes Recommandations et Normes sont sujettes a
révision et les parties prenantes aux accords fondés sur la présente Recommandation I Norme internationale sont invitées
à rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes indiquées ci-après.
Les membres de la CE1 et de I’ISO possèdent le registre des Normes internationales en vigueur. Le Bureau de la
normalisation des télécommunications de I’UIT tient à jour une liste des Recommandations de I’UIT-T en vigueur.
21 . Recommandations I Normes internationales identiques
-
Recommandation UIT-T X.200 (1994) I ISOKEI 7498- 1: 1994, Technologies de l’information - Inter-
connexion des systèmes ouverts - Modèle de référence de base: le modèle de référence de base.
-
Recommandation UIT-T X.233 (1993) I ISOKEI 8473-l: 1994, Technologies de l’information - Proto-
cole assurant le service réseau en mode sans connexion de l’interconnexion de systèmes ouverts:
spécification du protocole.
-
Recommandation UIT-T X.273 (1994) I ISOKEI 11577:1995, Technologies de Z’information - Inter-
connexion des systèmes ouverts - Protocole de sécurité de la couche réseau.
-
Recommandation UIT-T X.274 (1994) I ISOKEI 10736:1995, Technologies de Z’information - Télécom-
munications et échange d’informations entre systèmes - Protocole de sécurité de la couche transport.
-
Recommandation UIT-T X.8 10 (1995) I ISOKEI 1018 l- 1: 1996, Technologies de Z’information - Znter-
connexion des systèmes ouverts - Cadres de sécurité pour les systèmes ouverts: aperçu général.
-
Recommandation UIT-T X.8 12 ( 1995) I ISOKEI 1018 l-3: 1996, Technologies de l’information - Inter-
connexion des systèmes ouverts - Cadres de sécurité pour les systèmes ouverts: contrôle d’accès.
22 . Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
-
Recommandation X.800 du CCITT (1991), Architecture de sécurité pour Z’interconnexion en systèmes
ouverts d’applications du CCITT.
ISO 7498-2: 1989, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Modèle
de référence de base - Partie 2: architecture de sécurité.
3 Définitions
Pour les besoins de la présente Recommandation I Norme internationale, les définitions suivantes s’appliquent.
31 0 Définitions du modèle de référence de base
La présente Recommandation I Norme internationale utilise les termes généraux relatifs à la sécurité définis dans la
Rec. UIT-T X.200 I ISOKEI 7498-l et énumérés ci-dessous:
a) connexion (N);
b) entité (N);
c) fonctionnalité (N);
d) couche (N);
Rec. UIT-T X.814 (1995 F)
ISOKEI 10181-5 : 1996 (F)
e) PDU (N);
0 SDU (W
g) service (N);
h) données sans connexion (N);
données d’utilisateur (N);
.
segmentation.
J)
32 . Définitions de l’architecture de sécurité
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.800 du CCITT I
ISO 7498-2:
menace active;
a>
b) confidentialité;
c) déchiffiement (decipherment);
d) déchiffrement (decryption);
e) chiffrement (encipherment);
chiffrement (encryption);
f)
g) politique de sécurité fondt5e sur l’identité;
h) clé;
menace passive;
.
contrôle de routage;
J)
k) politique de sécurité fondée sur des règles;
1) sensibilité;
analyse du trafic;
m>
bourrage.
n>
33 l Définitions de l’aperçu général des cadres de sécurité
La présente Recommandation I Norme internationale utilise les termes généraux relatifs à la sécurit6 definis dans la
Rec. UIT-T X.810 I ISOKEI 10181-l et énumérés ci-dessous:
clé secrète;
a)
b) clé privée;
clé publique.
C)
34 l Définitions additionnelles
Pour les besoins de la présente Recommandation I Norme internationale, les définitions suivantes s’appliquent:
3.4.1 environnement protégé par la confidentialité: Environnement qui empêche la divulgation non autorisée
d’informations en prévenant toute inspection non autorisée des données ou toute obtention non autorisée d’informations
sensibles par l’inspection des données. Les informations sensibles peuvent inclure une partie ou la totalité des attributs de
donnees (valeur, taille, existence, etc.).
3.4.2 données protégées par la confidentialité: Données et tous attributs associés contenus dans un environnement
protégé par la confidentialité.
NOTE - Un environnement protégé par la confidentialit6 peut également protéger une partie (ou la totalité) des attributs
des données protégées par la confidentialité.
informations protégées par la confidentialité: Informations dont tous les codages concrets (c’est-à-dire les
3.4.3
données) sont protégés par la confidentialité.
3.4.4 dissimulation: Opération qui applique une protection par confidentialité à des données non protégées ou une
.
protection par confidentialité supplémentaire à des données déjà protégées.
Rec. UIT-T X.814 (1995 F) 3
ISOKEI 10181-5 : 1996 (F)
supprime une partie ou la totalité de la protection par confidentialité appliquée
3.4.5 révélation: Opération qui
précédemment.
3.4.6 informations de confidentialité «dissimulation»: Informations utilisées pour exécuter l’opération de
dissimulation.
3.4.7 informations de confidentialité «révélation»: Informations utilisées pour exécuter l’opération de révélation.
3.4.8 attaque directe: Attaque d’un système fondé sur les déficiences des algorithmes, des principes ou des
propriétés sur lesquels s’appuie un mécanisme de sécurité.
attaque indirecte: Attaque d’un système qui n’est pas fondé sur les déficiences d’un mécanisme de sécurité
3.4.9
particulier (par exemple, attaques qui contournent le mécanisme ou qui dépendent de l’utilisation incorrecte du
mécanisme par le système).
4 Abréviations
Pour les besoins de la présente Recommandation I Norme internationale, les abréviations suivantes sont utilisées:
HC1 Informations de confidentialité dissimulation (hiding confidentiality information)
PDU Unité de données de protocole (protocol data unit)
Informations de confidentialité révélation (revealing confîdentiality information)
RC1
SDU Unité de données de service (service data unit)
Présentation générale de la confidentialité
Principes de base
51 .
Le but du service de confidentialité est de faire en sorte que les informations ne soient communiquées qu’à des parties
autorisées. Dans la mesure où les informations sont représentées par des données et où ces données peuvent entraîner des
modifications contextuelles (par exemple, des manipulations de fichiers peuvent entraîner des modifications de
répertoire ou des modifications du nombre d’emplacements de mise en mémoire disponibles), les informations peuvent
être obtenues de diverses manières à partir d’une donnée, comme indique ci-après:
par la compréhension de la sémantique des données (par exemple, la valeur des données);
1)
associés des données (par exemple, existence, date de création , taille, date de
par l’utilisation des attributs
2)
la dernière mise à jour, etc.) pour en tirer des déductions;
par l’examen du contexte des données, c’est-à-dire des autres objets de données qui lui sont associes;
3)
par l’observation des variations dynamiques de la représentation.
4)
On peut protéger les informations en veillant a ce que la communication des données soit limitée aux parties autorisées
ou en représentant les données de telle sorte que leur sémantique ne reste accessible qu’a ceux qui possèdent certaines
informations critiques. Pour qu’une protection par la confidentialité soit efficace, il faut que les informations de contrôle
nécessaires (telles que les clés et autres informations RCI) soient protégées. Cette protection peut être assurée par des
mécanismes qui sont différents de ceux que l’on utilise pour protéger les données (par exemple, les clés cryptographiques
peuvent être protégées par des moyens physiques).
Les notions d’environnements protégés et d’environnements de chevauchement protégés sont utilisées dans ce cadre de
sécurité. Les données contenues dans les environnements protégés sont protégées par l’application d’un mécanisme (ou
de mécanismes) de sécurité particulier(s). Toutes les données contenues dans un environnement protégé sont donc
protégées de la même façon. Lorsque deux environnements ou plus se chevauchent, les données contenues dans la zone
de chevauchement bénéficient d’une protection multiple. On peut en déduire que la protection continue de données
transférées d’un environnement à l’autre implique nécessairement l’existence d’environnements de chevauchement
protégés.
S.l.1 Protection des informations
On réalise la communication ou la mise en mémoire d’informations en représentant les informations sous la forme
d’éléments de données. Les mécanismes de confidentialité assurent la protection contre la divulgation d’informations en
protégeant les parties ou la totalité des éléments de données énumérées au 5.1 ci-dessus.
4 Rec. UIT-T X.814 (1995 F)
ISOKEI 101814 : 1996 (F)
Pour assurer la confidentialité, on peut utiliser notamment les moyens suivants:
empêcher que l’on connaisse l’existence des données ou les caractéristiques
des données (telles que la
1)
taille ou la date de création des données);
empêcher l’accès à la lecture des données;
2)
empêcher que l’on connaisse la sémantique des données.
3)
mécanismes de confidentialité assurent la protection contre la divulgation des informations
en empêchant la divulgation du mode de représentation des éléments d’information; ou
en empêchant la divulgation des règles de représentation.
2)
Dans le second cas, on peut assurer la protection contre la divulgation de l’existence ou d’autres attributs d’un élément de
donnees en combinant plusieurs éléments de données en un élément de donnees composite et en empêchant la
divulgation des règles de représentation de l’objet composite.
51.2 Opérations de dissimulation et de révélation
L’operation de dissimulation peut être modélisée sous la forme d’un transfert d’informations d’un environnement A
à (B), environnement de chevauchement de A avec un autre environnement C. L’opération de révélation peut être
considérée comme étant l’opposé de l’opération de dissimulation. Ces opérations sont illustrées par un graphique dans
1’Annexe B.
Lorsque des informations sont transférées d’un environnement protégé par un mécanisme de confidentialité à un
un autre mécanisme de
environnement protégé par confidentialité:
si l’opération de dissimulation du second mécanisme précède l’opération de révélation du premier
1)
:s in .formations sont protégées d’une manière
mécanisme, le continue;
si l’opération de révélation du premier mécanisme précède l’opération de dissimulation du second
2)
mécanisme, les informations ne sont pas protegées d’une manière continue.
Pour que le point 1) ci-dessus soit possible, une certaine forme de commutativité doit exister entre l’opération de
révélation de l’ancien mécanisme et l’opération de dissimulation du nouveau mécanisme. A titre d’exemple d’opérations
de dissimulation et de révélation avec des propriétés commutatives, on peut citer le cas où un environnement est
protégé par le contrôle d’accès ou par des moyens physiques et où l’autre environnement est protégé par des transfor-
mations cryptographiques.
La confidentialité a une incidence, comme indiqué ci-après, sur l’extraction, le transfert et la gestion des informations:
1) la confidentialité est assurée, dans le transfert d’informations utilisant l’interconnexion OSI, lorsque
l’opération de dissimulation, l’opération de transfert utilisant une fonctionnalité (N-l), et l’opération de
révélation sont combinées pour former la partie transmission d’un service (N);
2) la confidentialité est assurée, dans l’extraction et la mise en mémoire de donnees, lorsque l’opération de
dissimulation, l’opération de mise en mémoire et d’extraction, et l’opération de révélation sont combinées
pour former un service de mise en mémoire et d’extraction d’un niveau plus elevé;
3) d’autres formes de confidentialité peuvent être assurées par la combinaison des opérations de
dissimulation et de révélation avec d’autres opérations (par exemple, celles qui sont utilisées pour les
besoins de la gestion des données).
Avec certains mécanismes de confidentialité, la fonction de dissimulation divulgue une partie des données protegées par
la confidentialité à l’utilisateur du service avant que la fonction ait achevé le traitement de toutes les donnees. De même,
avec certains mécanismes, la fonction de révélation peut commencer à travailler sur la partie traitement d’un élément de
données protégé par la confidentialité avant même qu’il soit totalement disponible. Ainsi, un élément de données peut
comprendre simultanément des parties qui ne sont pas encore dissimulées, des parties qui sont dissimulées et des parties
qui ont été révélées.
Types de services de confidentialité
52 .
Les services de confidentialité peuvent être classés selon le type de protection des informations qu’ils assurent.
Les types de protection des informations sont les suivants:
protection de la sémantique des donnees;
protection de la sémantique des données et des attributs associés;
2)
protection de la sémantique des données , des attributs associés et de toute information susceptible d’être
obtenue à partir des données en question.
Rec. UIT-T X.814 (1995 F)
ISOKEI 10181-5 : 1996 (F)
services selon le type de qui existe d .ans l’environ nement dans lequel ils
En outre, on peut classer les menace
informations sont protégées. D’après ce critère, les serv ,ices sont classés comme suit:
fonctionnent et contre lequel les
Protection contre les menaces externes
Ces services supposent que ceux qui ont un accès légitime aux informations ne les divulgueront pas à des
parties non autorisées. Ils ne protègent pas les informations divulguées à des parties autorisées et
n’imposent aucune contrainte à ces parties lorsqu’elles possedent des informations précédemment
protégées.
Exemple: des fichiers sensibles en A sont protégés par chiffrement. Toutefois, les processus qui
possèdent les clés de déchiffrement requises peuvent lire les fichiers protégés et écrire
ulterieurement sur des fichiers non protegés.
Protection contre les menaces internes
2)
Ces services supposent que ceux qui sont autorisés a accéder à des informations et données critiques
peuvent, volontairement ou non, exercer des activités qui compromettent éventuellement la confidentialité
des informations à protéger.
Exemple: des étiquettes de sécurité et autorisations sont rattachées aux ressources qui sont protégées et
aux entités qui peuvent y accéder. Les accès sont restreints selon un modèle de contrôle de flux
bien défini et bien compris.
Les services qui protègent la confidentialité contre les menaces internes doivent interdire les voies occultes (voir
1’Annexe D) ou limiter leur débit de transfert d’information à des niveaux acceptables. Ils doivent, en outre, empêcher
toute déduction non autorisée qui pourrait être faite à partir de l’utilisation imprévue de voies d’information légitimes
(telles que les déductions fondées sur des consultations soigneusement construites de bases de données - dont chacune
est individuellement legitime - ou les déductions fondées sur l’aptitudekl’inaptitude d’un programme utilitaire de système
à exécuter une commande).
53 l Types de mécanismes de confidentialité
L’objectif des mécanismes de confidentialité est d’empêcher la divulgation non autorisée d’informations. A cet effet, un
mécanisme de confidentialité peut:
empêcher l’accès aux données (par exemple, protection physique d’une voie).
On peut utiliser des mécanismes de contrôle d’actes (décrits dans la Rec. UIT-T X.8 12 I ISOKEI 1018 l-3)
pour permettre aux seules entités autorisées d’accéder aux donnees.
Les techniques de protection physique sortent du cadre de la présente Recommandation I Norme
internationale. Elles sont néanmoins incluses dans d’autres normes telles que ISO 10202 (Architecture de
sécurité des systèmes de transaction financiere utilisant des cartes à circuit intégré) et ANSI X9.17/
ISO 8734 (Financial Institution Key Management - Wholesale);
2) utiliser des techniques de mise en correspondance qui rendent les informations a protéger relativement
inaccessibles sauf a ceux qui possèdent certaines informations critiques sur la technique de mise en
correspondance. Ces techniques incluent:
a) le chiffrement;
le remplissage de données;
b)
c)
l’étalement du spectre.
Des mécanismes de confidentialité de l’un ou l’autre type peuvent être utilisés conjointement avec d’autres mécanismes
du même type ou d’un type différent.
Les mécanismes de confidentialité peuvent assurer différents types de protection:
-
protection de la sémantique des donnees;
-
protection des attributs des données (y compris l’existence des données);
-
protection contre les déductions.
Des exemples de ces classes de mécanisme sont donnés ci-dessous:
chiffrement pour dissimuler des données;
2) chiffrement des données conjointement avec la segmentation et le remplissage pour dissimuler la
longueur des unités PDU (voir 8.2);
techniques d’étalement du spectre pour dissimuler l’existence d’une voie de communication.
6 Rec. UIT-T X.814 (1995 F)
ISOKEI 10181-5 : 1996 (F)
. Menaces contre la confidentialité
Il existe une seule menace générique contre les informations protégées par la confidentialité, à savoir la divulgation des
informations protégées. Plusieurs menaces existent à l’encontre des données protégées par la confidentialité, qui
correspondent aux diverses façons dont les informations protegées par la confidentialité peuvent être déduites des
données. On trouvera ci-après une description des menaces qui concernent les données protégées par la confidentialité
dans différents environnements.
5.4.1 Menaces lorsque la confidentialité est assurée par des mesures visant à empêcher l’accès
Il s’agit notamment des menaces suivantes:
1) pénétration du mécanisme d’interdiction de lac&, par exemple:
exploitation des faiblesses dans les voies physiquement protégées;
a)
b) usurpation d’identité ou utilisation inadéquate de certificats;
exploitation des faiblesses dans la mise en œuvre du mécanisme de prévention (par exemple, un
Cl
utilisateur peut demander l’accès a un fichier A, se voir accorder l’accès audit fichier et ensuite
modifier le nom du fichier pour avoir accès à un autre fichier, B);
d) intégration de chevaux de Troie dans le logiciel de confiance;
2) pénétration des services dont dépend le mécanisme de prévention (par exemple, usurpation d’identité
lorsque l’accès est fondé sur l’authentification de l’identité, utilisation impropre de certificats ou
pénétration du mécanisme d’intégrité servant à protéger les certificats);
3) exploitation des programmes utilitaires du système qui peuvent divulguer, directement ou indirectement,
des informations sur le système;
4) voies occultes.
5.4.2 Menaces lorsque la confidentialité est assurée par la dissimulation des informations
Il s’agit notamment des menaces suivantes:
du mécanisme cryptographique (que ce soit par une analyse cryptographique, par des clés
pénétration
1)
détournees, des attaques sous forme de texte en cl air choisi ou par d’autres moyens);
Par
2) analyse du trafic;
3) analyse des en-têtes d’unité PDU;
4) voies occultes.
55 . Types d’attaques contre la confidentialité
énumérées ci-dessus correspondent attaques,
A chacune des menaces une ou plusieurs c’est-à-dire des in .stanciations de
menace en question.
la
Il est possible de distinguer des attaques actives et des attaques passives, c’est-à-dire des attaques contre la confidentialité
qui entraînent une modification du système et des attaques contre la confidentialité qui n’entraînent pas de modification
du système.
NOTE - Le fait qu’une attaque soit passive ou active dépend aussi bien des caractéristiques du système que des actions
entreprises par l’attaquant.
Exemples d’attaque passive:
1) lecture secrète des données et branchement clandestin;
2) analyse du trafic;
3) analyse des en-têtes d’unite PDU à des fins non legitimes;
4) copie de données d’unité PDU destinées à d’autres systèmes que ceux qui sont envisagés;
analyse cryptographique.
5)
Exemples d’attaque active:
1) chevaux de Troie (code dont les caractéristiques non documentées facilitent les violations de la sécurité);
voies occultes;
2)
3) pénétration des mécanismes qui assurent la confidentialité, telle que la pénétration du mécanisme
d’authentification (par exemple, usurpation avec succes de l’identité d’une entité autorisée), la pénétration
du mécanisme de contrôle d’accès et l’interception de clés;
invocations parasites de la fonctionnalité
cryptographique, telles que les attaques sous forme de texte en
4)
clair choisi.
Rec. UIT-T X.814 (1995 F)
ISOICEI 10181-S : 1996 (F)
Politiques de confidentialité
Une politique de confidentialité est l’élément de la politique de sécurité qui concerne la mise en œuvre et l’utilisation du
service de confidentialité.
Les données qui représentent des informations dont la confidentialité est protégee font l’objet d’un contrôle concernant
les entités qui peuvent les lire. Une politique de confidentialité doit donc identifier les informations qui font l’objet de
contrôles et indiquer quelles entités doivent normalement être autorisées à les lire.
Selon l’importance relative de la confidentialité des différents types d’information, une politique de confidentialité peut
également indiquer le type et la force des mécanismes qu’il convient d’utiliser afin d’assurer les services de
confidentialité pour chacun des différents types d’information.
La gestion d’une politique de sécurité en termes de confidentialité n’est pas traitée dans la présente Recommandation I
Norme internationale.
61 . Expression des politiques
Dans l’expression d’une politique de confidentialité, des moyens sont nécessaires pour identifier les informations et les
entités en cause.
Une politique de sécurite peut être considérée comme un ensemble de règles. Chacune de ces règles peut, dans une
politique de confidentialité, associer une caractérisation des données et une caractérisation des entités. Dans certaines
politiques, ces règles ne sont pas exprimées explicitement mais peuvent être déduites de la politique.
Un certain nombre de modes d’expression possibles des politiques de confidentialité sont décrits ci-après. Il convient de
noter que, même si certains mécanismes de confidentialité peuvent comporter des aspects parallèles dans des types
particuliers d’expression des politiques, le mode d’expression d’une politique n’implique pas directement l’utilisation d’un
mécanisme spécifique pour la mise en œuvre de cette politique.
6.1.1 Caractérisation des informations
Une politique peut caractériser les informations de diverses manières, par exemple:
1) en identifiant l’entité qui les crée;
2) en identifiant un groupe d’entités dont l’une quelconque des entités peut les lire;
3) par leur emplacement;
4) en identifiant le contexte dans lequel les données sont présentées (par exemple, leur fonction envisagée).
6.1.2 Caractérisation des entités
Il existe plusieurs manières de caractériser les entités qui entrent en jeu dans une règle de politique de confidentialité.
Deux de ces manières généralement rencontrées consistent à identifier individuellement et sans ambiguïté les entités ou à
associer des attributs à chaque entité. Ces deux formes de caractérisation des entités donnent lieu à deux types de
politique, à savoir les politiques fondées sur l’identité et les politiques fondées sur des règles. Ces politiques sont
examinées en détail dans le cadre du contrôle d’accès (voir la Rec. UIT-T X.812 I ISOKEI 10181-3).
7 Informations et fonctions de confidentialité
Informations de confidentialité
71 l
Les opérations de dissimulation et de révélation sont examinées au 5.1.2. L’Annexe B montre, à l’aide de la Figure B. 1,
comment les donnees passent d’un environnement protégé par la confidentialité à un autre en utilisant ces opérations.
Avec certains mécanismes de confidentialités, les opérations de dissimulation et de révélation des données utilisent des
informations auxiliaires. Ces informations auxiliaires sont appelées respectivement «informations de confidentialité
«dissimulation» (HCI)» et «informations de confidentialité «révélation» (RCI)».
Rec. UIT-T X.814 (1995 F)
ISOKEI 10181-S : 1996 (F)
7.1.1 Informations de confidentialité «dissimulation»
Les informations de confidentialité «dissimulation», HCI, sont des informations
utilisées l’opération de
dissimulation.
Citons, à titre d’exemple:
1) les clés publiques;
2) les clés symétriques;
3) l’emplacement où les données doivent être mises en mémoire;
4) les règles de segmentation.
Informations de confidentialité «révélation»
7.1.2
Les informations de confidentialité «révélation», RCI, sont des informations utilisées par l’opération de révélation.
Citons, à titre d’exemple:
1) les clés privées;
2) les clés symhriques;
3) l’emplacement où les données ont été mises en mémoire;
4) les règles de segmentation.
Fonctions de confidentialité
72 0
Un certain nombre de fonctions de confidential
...

NORME ISO/CEI
INTERNATIONALE 10181-5
Première édition
1996-09-15
Technologies de l’information -
Interconnexion de systèmes ouverts
(OSI) - Cadres de sécurité pour les
systèmes ouverts: Cadre de confidentialité
Informa tien technolog y - Open Systems lnterconnection - Security
frameworks for open systems: Confidentiality framework
Numéro de référence
ISO/CEI 10181-5:1996(F)
ISOKEI 10181-5:1996(F)
Sommaire
Page
1 Domaine d’application .
Références normatives .
......................................................................
Recommandations I Normes internationales identiques
2.1
.......
Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
2.2
......................................................................................................................................................
3 Définitions
.......................................................................................
3.1 Définitions du modèle de référence de base
..............................................................................................
3.2 Définitions de l’architecture de sécurite
........................................................................
3.3 Définitions de l’aperçu général des cadres de sécurité
Définitions additionnelles .
3.4
...................................................................................................................................................
4 Abréviations
Présentation générale de la confidentialité .
Principes de base .
5.1
..............................................................................................
5.1.1 Protection des informations
....................................................................
5.1.2 Opérations de dissimulation et de révélation
...... ..-.....i...........-.......................~.................~....~ ............................
5 2 Types de services de confidentialité
.............................................................................................
5:3 Types de mécanismes de confidentialité
Menaces contre la confidentialité .
5.4
5.4.1 Menaces lorsque la confidentialité est assurée par des mesures visant a empêcher
l’accès .
......
Menaces lorsque la confidentialité est assurée par la dissimulation des informations
5.4.2
Types d’attaques contre la confidentialité .
55 .
...........................................................................................................................
6 Politiques de confidentialité
....................................................................................................................
61 . Expression des politiques
Caractérisation des informations .
6.1.1
6.1.2 Caractérisation des entités .
Informations et fonctions de confidentialite .
Informations de confidentialité .
7.1
............................................................... 9
Informations de confidentialité «dissimulation»
7.1.1
.................................................................... 9
7.1.2 Informations de confidentialité «révélation»
................................................................................................................ 9
7.2 Fonctions de confidentialité
Fonctions relatives à l’exploitation .
7.2.1
7.2.1.1 Dissimulation .
R&elation 9
7.2.1.2 .
Fonctions relatives a la gestion .
7.2.2
0 ISOKEI 1996
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne
peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou
mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.
ISO/CEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1997
Imprimé en Suisse
ii
ISOKEI 101814:1996(F)
0 ISOKEI
....................................................................................................................... 10
Mécanismes de confidentialité
................................ 10
8.1 Mise en œuvre de la confïdentialite par des mesures visant à empêcher l’accès
................. 10
81.1 Mise en œuvre de la confidentialité par la protection des supports physiques
Mise en œuvre de la confidentialité par le contrôle de l’acheminement . 10
8.1.2
Mise en œuvre de la confidentialité par le chiffrement . 10
8.2
8.2.1 Mise en œuvre de la confidentialité par le remplissage de données .
........................................ 11
8.2.2 Mise en œuvre de la confidentialité par des événements fictifs
Mise en œuvre de la confidentialite par la protection des en-têtes d’unité PDU . 11
8.2.3
8.2.4 Mise en œuvre de la confidentialité par des champs variant dans le temps. . 11
Mise en œuvre de la confidentialité par l’emplacement contextuel . 12
83 .
Interactions avec d’autres services et mécanismes de securité . 12
Contrôle d’accés . 12
9.1
,
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Annexe A - Confidentialité dans le modele de réference OS1
A. 1 Confidentialité en mode connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
A.2 Confidentialité en mode sans connexion
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A.3 Confidentialité sélective des champs
A.4 Confidentialité du flux de trafic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
........................................................................
A.5 Utilisation de la confidentialite dans les couches OS1
Utilisation de la confidentialité au niveau de la couche physique . 13
A.5.1
..................... 13
A.5.2 Utilisation de la confidentialité au niveau de la couche liaison de données
......................................... 14
A.5.3 Utilisation de la confidentialité au niveau de la couche réseau
..................................... 14
A.5.4 Utilisation de la confidentialité au niveau de la couche transport
A.5.5 Utilisation de la confidentialité au niveau de la couche présentation .
Utilisation de la confidentialité au niveau de la couche application .
A.5.6
Annexe B - Exemple de séquence de passages par différents contextes de protection de la confidentialité . . . . . . . . . . . .
Annexe C - Représentation des informations . . . . . . . . . . . . . . . . . . . . . . .*.
Annexe D - Voies occultes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Annexe E - Description générale des fonctions de confidentialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
E.l Entités de confidentialité
E.l.l Initiateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
E.1.2 Vérificateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
E.1.3 Tierce partie de confiance (TTP) pour les fonctions de confidentialité
. . .
ISOKEI 10181-5:1996(F) @ ISOKEI
Avant-propos
LIS0 (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes inter-
nationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de 1’ISO et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouverne-
mentales ou non gouvernementales, en liaison avec 1’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISO/CEI 1018 l-5 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de Z’information, sous-comité SC 21,
Interconnexion des systèmes ouverts, gestion des données et traitement distribué
ouvert, en collaboration avec KJIT-T. Le texte identique est publié en tant que
Recommandation UIT-T X.814.
L’ISOKEI 10181 comprend les parties suivantes, présentées sous le titre général
Interconnexion de systèmes ouverts (OSI) -
Technologies de 1 ‘information -
Cadres de sécurité pour les systèmes ouverts:
- Partie 1: Vue d’ensemble
- Partie 2: Cadre d’authentification
- Partie 3: Cadre de contrôle d’accès
Partie 4: Cadre de non-répudiation
- Partie 5: Cadre de confidentialité
- Partie 6: Cadre d’intégrité
- Partie 7: Cadre d’audit de sécurité
Les annexes A à E de la présente partie de l’ISO/CEI 1018 1 sont données unique-
ment à titre d’information.
iv
0 ISOKEI ISOKEI 10181-5:1996(F)
Introduction
De nombreuses applications de systèmes ouverts ont des exigences en matière de sécurité qui dépendent des mesures
prises pour empêcher la divulgation des informations. Ces exigences peuvent inclure la protection des informations
utilisées pour assurer d’autres services de sécurité tels que l’authentification, le contrôle d’accès ou l’intégrité qui, si elles
sont connues d’un «attaquant», risquent de réduire ou d’annihiler l’efficacité de ces services.
selon laquelle aucune information n’est communiquée ou divulguée à des individus,
La confidentialité est une propriété
entités ou processus non autorisés.
La présente Recommandation I Norme internationale définit un cadre général pour la fourniture de services de
confidentialité.
Page blanche
ISOKEI 10181-5 : 1996 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION - INTERCONNEXION DE SYSTÈMES
CADRES DE SÉCURITÉ POUR LES SYSTÈMES OUVERTS:
OUVERTS (OSI) -
CADRE DE CONFIDENTIALITÉ
1 Domaine d’application
La présente Recommandation I Norme internationale sur les cadres de sécurité pour les systèmes ouverts couvre
l’application des services de securite dans un environnement de systèmes ouverts, où le terme «systèmes ouverts»
s’applique notamment à des domaines tels que les bases de données, les applications distribuées, le traitement réparti
ouvert (ODP) et l’interconnexion OSI. Les cadres de sécurité ont pour but de définir les moyens d’assurer la protection
pour les systèmes et les objets a l’intérieur des systèmes, ainsi que les interactions entre les systèmes. Ils ne couvrent pas
la méthodologie de construction des systèmes ou mécanismes.
Les cadres de sécurité couvrent à la fois les éléments de données et les séquences d’opérations (mais non les éléments de
protocole) qui peuvent servir a obtenir des services de sécurité spécifiques. Ces services de sécurité peuvent s’appliquer
aux entités communicantes des systèmes ainsi qu’aux données échangées entre les systèmes et aux données gérées par les
systèmes.
traite de la confidentialité des informations lors de l’extraction,
La présente Recommandation I Norme internationale qui
du transfert et de la gestion des données
définit les concepts élémentaires de confidentialité;
1)
identifie les classes possibles de mécanismes de confidentialité;
2)
classe et identifie les fonctionnalités pour chaque classe de mécanisme de confidentialité;
3)
4) identifie les ressources de gestion requises pour prendre en charge les diverses classes de mécanisme de
confidentialité;
examine l’interaction des mécanismes de confidentialité et des services supports avec d’autres services et
5)
mécanismes de sécurité.
Plusieurs types de normes peuvent utiliser ce cadre de sécurité, notamment
les normes qui incorporent le concept de confidentialité;
les normes qui spécifient des services abstraits incluant la confidentialité;
2)
les normes qui spécifient les utilisations d’un service de confidentialité;
3)
les normes qui spécifient les moyens d’assurer la confidentialite dans une architecture de système ouvert;
4)
les normes qui spécifient les mécanismes de confidentialité.
De telles normes peuvent utiliser ce cadre de sécurité comme indiqué ci-dessous:
-
les normes des types l), 2), 3), 4) et 5) peuvent utiliser la terminologie de ce cadre de sécurité;
-
les normes des types 2), 3), 4) et 5) peuvent utiliser les fonctionnalités définies à l’article 7 de ce cadre de
sécurité;
les normes du type 5) peuvent être sur les classes de mécanisme définies à l’article
fondees 8 de ce
de sécurite.
Comme avec d’autres services de sécurité, la confidentialité ne peut être assurée que dans le contexte d’une politique de
sécurité déterminée pour une application particuliére. Les définitions de politiques de sécurité spéçifiques sortent du
cadre de la présente Recommandation I Norme internationale.
La présente Recommandation I Norme internationale n’a pas pour but de spécifier les détails des échanges de protocole
qu’il convient d’effectuer pour assurer la confidentialité.
La présente Recommandation I Norme internationale ne spécifie pas les mécanismes particuliers nécessaires pour assurer
ces services de confidentialité ni les détails complets des services et protocoles de gestion de sécurité. Les mécanismes
génériques nécessaires pour assurer la confidentialité sont décrits à l’article 8.
Rec. UIT-T X.814 (1995 F)
ISOKEI 1Olt-W5:1996 (F)
Certaines des procédures décrites dans ce cadre de sécurité assurent la confidentialité par l’application de techniques
cryptographiques. Ce cadre de sécurité ne dépend pas de l’utilisation d’algorithmes cryptographiques ou autres
particuliers mais certaines classes de mécanisme de confidentialité peuvent dépendre de propriétés d’algorithme
particulières.
NOTE - Bien que 1’ISO ne normalise pas les algorithmes cryptographiques, elle normalise néanmoins les procédures
utilisées pour les enregistrer dans l’ISO/CEI 9979: 199 1 - Procédures pour l’enregistrement des algorithmes cryptographiques.
Ce cadre de sécurite s’applique à la mise en œuvre de la confidentialité lorsque les informations sont représentées par des
données dont la lecture est accessible à d’éventuels «attaquants». Son domaine d’application englobe la confidentialité du
flux de trafic.
2 Références normatives
Les Recommandations et les Normes internationales suivantes contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente Recommandation I Norme internationale. Au
moment de la publication, les éditions indiquées étaient en vigueur. Toutes Recommandations et Normes sont sujettes a
révision et les parties prenantes aux accords fondés sur la présente Recommandation I Norme internationale sont invitées
à rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes indiquées ci-après.
Les membres de la CE1 et de I’ISO possèdent le registre des Normes internationales en vigueur. Le Bureau de la
normalisation des télécommunications de I’UIT tient à jour une liste des Recommandations de I’UIT-T en vigueur.
21 . Recommandations I Normes internationales identiques
-
Recommandation UIT-T X.200 (1994) I ISOKEI 7498- 1: 1994, Technologies de l’information - Inter-
connexion des systèmes ouverts - Modèle de référence de base: le modèle de référence de base.
-
Recommandation UIT-T X.233 (1993) I ISOKEI 8473-l: 1994, Technologies de l’information - Proto-
cole assurant le service réseau en mode sans connexion de l’interconnexion de systèmes ouverts:
spécification du protocole.
-
Recommandation UIT-T X.273 (1994) I ISOKEI 11577:1995, Technologies de Z’information - Inter-
connexion des systèmes ouverts - Protocole de sécurité de la couche réseau.
-
Recommandation UIT-T X.274 (1994) I ISOKEI 10736:1995, Technologies de Z’information - Télécom-
munications et échange d’informations entre systèmes - Protocole de sécurité de la couche transport.
-
Recommandation UIT-T X.8 10 (1995) I ISOKEI 1018 l- 1: 1996, Technologies de Z’information - Znter-
connexion des systèmes ouverts - Cadres de sécurité pour les systèmes ouverts: aperçu général.
-
Recommandation UIT-T X.8 12 ( 1995) I ISOKEI 1018 l-3: 1996, Technologies de l’information - Inter-
connexion des systèmes ouverts - Cadres de sécurité pour les systèmes ouverts: contrôle d’accès.
22 . Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
-
Recommandation X.800 du CCITT (1991), Architecture de sécurité pour Z’interconnexion en systèmes
ouverts d’applications du CCITT.
ISO 7498-2: 1989, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Modèle
de référence de base - Partie 2: architecture de sécurité.
3 Définitions
Pour les besoins de la présente Recommandation I Norme internationale, les définitions suivantes s’appliquent.
31 0 Définitions du modèle de référence de base
La présente Recommandation I Norme internationale utilise les termes généraux relatifs à la sécurité définis dans la
Rec. UIT-T X.200 I ISOKEI 7498-l et énumérés ci-dessous:
a) connexion (N);
b) entité (N);
c) fonctionnalité (N);
d) couche (N);
Rec. UIT-T X.814 (1995 F)
ISOKEI 10181-5 : 1996 (F)
e) PDU (N);
0 SDU (W
g) service (N);
h) données sans connexion (N);
données d’utilisateur (N);
.
segmentation.
J)
32 . Définitions de l’architecture de sécurité
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.800 du CCITT I
ISO 7498-2:
menace active;
a>
b) confidentialité;
c) déchiffiement (decipherment);
d) déchiffrement (decryption);
e) chiffrement (encipherment);
chiffrement (encryption);
f)
g) politique de sécurité fondt5e sur l’identité;
h) clé;
menace passive;
.
contrôle de routage;
J)
k) politique de sécurité fondée sur des règles;
1) sensibilité;
analyse du trafic;
m>
bourrage.
n>
33 l Définitions de l’aperçu général des cadres de sécurité
La présente Recommandation I Norme internationale utilise les termes généraux relatifs à la sécurit6 definis dans la
Rec. UIT-T X.810 I ISOKEI 10181-l et énumérés ci-dessous:
clé secrète;
a)
b) clé privée;
clé publique.
C)
34 l Définitions additionnelles
Pour les besoins de la présente Recommandation I Norme internationale, les définitions suivantes s’appliquent:
3.4.1 environnement protégé par la confidentialité: Environnement qui empêche la divulgation non autorisée
d’informations en prévenant toute inspection non autorisée des données ou toute obtention non autorisée d’informations
sensibles par l’inspection des données. Les informations sensibles peuvent inclure une partie ou la totalité des attributs de
donnees (valeur, taille, existence, etc.).
3.4.2 données protégées par la confidentialité: Données et tous attributs associés contenus dans un environnement
protégé par la confidentialité.
NOTE - Un environnement protégé par la confidentialit6 peut également protéger une partie (ou la totalité) des attributs
des données protégées par la confidentialité.
informations protégées par la confidentialité: Informations dont tous les codages concrets (c’est-à-dire les
3.4.3
données) sont protégés par la confidentialité.
3.4.4 dissimulation: Opération qui applique une protection par confidentialité à des données non protégées ou une
.
protection par confidentialité supplémentaire à des données déjà protégées.
Rec. UIT-T X.814 (1995 F) 3
ISOKEI 10181-5 : 1996 (F)
supprime une partie ou la totalité de la protection par confidentialité appliquée
3.4.5 révélation: Opération qui
précédemment.
3.4.6 informations de confidentialité «dissimulation»: Informations utilisées pour exécuter l’opération de
dissimulation.
3.4.7 informations de confidentialité «révélation»: Informations utilisées pour exécuter l’opération de révélation.
3.4.8 attaque directe: Attaque d’un système fondé sur les déficiences des algorithmes, des principes ou des
propriétés sur lesquels s’appuie un mécanisme de sécurité.
attaque indirecte: Attaque d’un système qui n’est pas fondé sur les déficiences d’un mécanisme de sécurité
3.4.9
particulier (par exemple, attaques qui contournent le mécanisme ou qui dépendent de l’utilisation incorrecte du
mécanisme par le système).
4 Abréviations
Pour les besoins de la présente Recommandation I Norme internationale, les abréviations suivantes sont utilisées:
HC1 Informations de confidentialité dissimulation (hiding confidentiality information)
PDU Unité de données de protocole (protocol data unit)
Informations de confidentialité révélation (revealing confîdentiality information)
RC1
SDU Unité de données de service (service data unit)
Présentation générale de la confidentialité
Principes de base
51 .
Le but du service de confidentialité est de faire en sorte que les informations ne soient communiquées qu’à des parties
autorisées. Dans la mesure où les informations sont représentées par des données et où ces données peuvent entraîner des
modifications contextuelles (par exemple, des manipulations de fichiers peuvent entraîner des modifications de
répertoire ou des modifications du nombre d’emplacements de mise en mémoire disponibles), les informations peuvent
être obtenues de diverses manières à partir d’une donnée, comme indique ci-après:
par la compréhension de la sémantique des données (par exemple, la valeur des données);
1)
associés des données (par exemple, existence, date de création , taille, date de
par l’utilisation des attributs
2)
la dernière mise à jour, etc.) pour en tirer des déductions;
par l’examen du contexte des données, c’est-à-dire des autres objets de données qui lui sont associes;
3)
par l’observation des variations dynamiques de la représentation.
4)
On peut protéger les informations en veillant a ce que la communication des données soit limitée aux parties autorisées
ou en représentant les données de telle sorte que leur sémantique ne reste accessible qu’a ceux qui possèdent certaines
informations critiques. Pour qu’une protection par la confidentialité soit efficace, il faut que les informations de contrôle
nécessaires (telles que les clés et autres informations RCI) soient protégées. Cette protection peut être assurée par des
mécanismes qui sont différents de ceux que l’on utilise pour protéger les données (par exemple, les clés cryptographiques
peuvent être protégées par des moyens physiques).
Les notions d’environnements protégés et d’environnements de chevauchement protégés sont utilisées dans ce cadre de
sécurité. Les données contenues dans les environnements protégés sont protégées par l’application d’un mécanisme (ou
de mécanismes) de sécurité particulier(s). Toutes les données contenues dans un environnement protégé sont donc
protégées de la même façon. Lorsque deux environnements ou plus se chevauchent, les données contenues dans la zone
de chevauchement bénéficient d’une protection multiple. On peut en déduire que la protection continue de données
transférées d’un environnement à l’autre implique nécessairement l’existence d’environnements de chevauchement
protégés.
S.l.1 Protection des informations
On réalise la communication ou la mise en mémoire d’informations en représentant les informations sous la forme
d’éléments de données. Les mécanismes de confidentialité assurent la protection contre la divulgation d’informations en
protégeant les parties ou la totalité des éléments de données énumérées au 5.1 ci-dessus.
4 Rec. UIT-T X.814 (1995 F)
ISOKEI 101814 : 1996 (F)
Pour assurer la confidentialité, on peut utiliser notamment les moyens suivants:
empêcher que l’on connaisse l’existence des données ou les caractéristiques
des données (telles que la
1)
taille ou la date de création des données);
empêcher l’accès à la lecture des données;
2)
empêcher que l’on connaisse la sémantique des données.
3)
mécanismes de confidentialité assurent la protection contre la divulgation des informations
en empêchant la divulgation du mode de représentation des éléments d’information; ou
en empêchant la divulgation des règles de représentation.
2)
Dans le second cas, on peut assurer la protection contre la divulgation de l’existence ou d’autres attributs d’un élément de
donnees en combinant plusieurs éléments de données en un élément de donnees composite et en empêchant la
divulgation des règles de représentation de l’objet composite.
51.2 Opérations de dissimulation et de révélation
L’operation de dissimulation peut être modélisée sous la forme d’un transfert d’informations d’un environnement A
à (B), environnement de chevauchement de A avec un autre environnement C. L’opération de révélation peut être
considérée comme étant l’opposé de l’opération de dissimulation. Ces opérations sont illustrées par un graphique dans
1’Annexe B.
Lorsque des informations sont transférées d’un environnement protégé par un mécanisme de confidentialité à un
un autre mécanisme de
environnement protégé par confidentialité:
si l’opération de dissimulation du second mécanisme précède l’opération de révélation du premier
1)
:s in .formations sont protégées d’une manière
mécanisme, le continue;
si l’opération de révélation du premier mécanisme précède l’opération de dissimulation du second
2)
mécanisme, les informations ne sont pas protegées d’une manière continue.
Pour que le point 1) ci-dessus soit possible, une certaine forme de commutativité doit exister entre l’opération de
révélation de l’ancien mécanisme et l’opération de dissimulation du nouveau mécanisme. A titre d’exemple d’opérations
de dissimulation et de révélation avec des propriétés commutatives, on peut citer le cas où un environnement est
protégé par le contrôle d’accès ou par des moyens physiques et où l’autre environnement est protégé par des transfor-
mations cryptographiques.
La confidentialité a une incidence, comme indiqué ci-après, sur l’extraction, le transfert et la gestion des informations:
1) la confidentialité est assurée, dans le transfert d’informations utilisant l’interconnexion OSI, lorsque
l’opération de dissimulation, l’opération de transfert utilisant une fonctionnalité (N-l), et l’opération de
révélation sont combinées pour former la partie transmission d’un service (N);
2) la confidentialité est assurée, dans l’extraction et la mise en mémoire de donnees, lorsque l’opération de
dissimulation, l’opération de mise en mémoire et d’extraction, et l’opération de révélation sont combinées
pour former un service de mise en mémoire et d’extraction d’un niveau plus elevé;
3) d’autres formes de confidentialité peuvent être assurées par la combinaison des opérations de
dissimulation et de révélation avec d’autres opérations (par exemple, celles qui sont utilisées pour les
besoins de la gestion des données).
Avec certains mécanismes de confidentialité, la fonction de dissimulation divulgue une partie des données protegées par
la confidentialité à l’utilisateur du service avant que la fonction ait achevé le traitement de toutes les donnees. De même,
avec certains mécanismes, la fonction de révélation peut commencer à travailler sur la partie traitement d’un élément de
données protégé par la confidentialité avant même qu’il soit totalement disponible. Ainsi, un élément de données peut
comprendre simultanément des parties qui ne sont pas encore dissimulées, des parties qui sont dissimulées et des parties
qui ont été révélées.
Types de services de confidentialité
52 .
Les services de confidentialité peuvent être classés selon le type de protection des informations qu’ils assurent.
Les types de protection des informations sont les suivants:
protection de la sémantique des donnees;
protection de la sémantique des données et des attributs associés;
2)
protection de la sémantique des données , des attributs associés et de toute information susceptible d’être
obtenue à partir des données en question.
Rec. UIT-T X.814 (1995 F)
ISOKEI 10181-5 : 1996 (F)
services selon le type de qui existe d .ans l’environ nement dans lequel ils
En outre, on peut classer les menace
informations sont protégées. D’après ce critère, les serv ,ices sont classés comme suit:
fonctionnent et contre lequel les
Protection contre les menaces externes
Ces services supposent que ceux qui ont un accès légitime aux informations ne les divulgueront pas à des
parties non autorisées. Ils ne protègent pas les informations divulguées à des parties autorisées et
n’imposent aucune contrainte à ces parties lorsqu’elles possedent des informations précédemment
protégées.
Exemple: des fichiers sensibles en A sont protégés par chiffrement. Toutefois, les processus qui
possèdent les clés de déchiffrement requises peuvent lire les fichiers protégés et écrire
ulterieurement sur des fichiers non protegés.
Protection contre les menaces internes
2)
Ces services supposent que ceux qui sont autorisés a accéder à des informations et données critiques
peuvent, volontairement ou non, exercer des activités qui compromettent éventuellement la confidentialité
des informations à protéger.
Exemple: des étiquettes de sécurité et autorisations sont rattachées aux ressources qui sont protégées et
aux entités qui peuvent y accéder. Les accès sont restreints selon un modèle de contrôle de flux
bien défini et bien compris.
Les services qui protègent la confidentialité contre les menaces internes doivent interdire les voies occultes (voir
1’Annexe D) ou limiter leur débit de transfert d’information à des niveaux acceptables. Ils doivent, en outre, empêcher
toute déduction non autorisée qui pourrait être faite à partir de l’utilisation imprévue de voies d’information légitimes
(telles que les déductions fondées sur des consultations soigneusement construites de bases de données - dont chacune
est individuellement legitime - ou les déductions fondées sur l’aptitudekl’inaptitude d’un programme utilitaire de système
à exécuter une commande).
53 l Types de mécanismes de confidentialité
L’objectif des mécanismes de confidentialité est d’empêcher la divulgation non autorisée d’informations. A cet effet, un
mécanisme de confidentialité peut:
empêcher l’accès aux données (par exemple, protection physique d’une voie).
On peut utiliser des mécanismes de contrôle d’actes (décrits dans la Rec. UIT-T X.8 12 I ISOKEI 1018 l-3)
pour permettre aux seules entités autorisées d’accéder aux donnees.
Les techniques de protection physique sortent du cadre de la présente Recommandation I Norme
internationale. Elles sont néanmoins incluses dans d’autres normes telles que ISO 10202 (Architecture de
sécurité des systèmes de transaction financiere utilisant des cartes à circuit intégré) et ANSI X9.17/
ISO 8734 (Financial Institution Key Management - Wholesale);
2) utiliser des techniques de mise en correspondance qui rendent les informations a protéger relativement
inaccessibles sauf a ceux qui possèdent certaines informations critiques sur la technique de mise en
correspondance. Ces techniques incluent:
a) le chiffrement;
le remplissage de données;
b)
c)
l’étalement du spectre.
Des mécanismes de confidentialité de l’un ou l’autre type peuvent être utilisés conjointement avec d’autres mécanismes
du même type ou d’un type différent.
Les mécanismes de confidentialité peuvent assurer différents types de protection:
-
protection de la sémantique des donnees;
-
protection des attributs des données (y compris l’existence des données);
-
protection contre les déductions.
Des exemples de ces classes de mécanisme sont donnés ci-dessous:
chiffrement pour dissimuler des données;
2) chiffrement des données conjointement avec la segmentation et le remplissage pour dissimuler la
longueur des unités PDU (voir 8.2);
techniques d’étalement du spectre pour dissimuler l’existence d’une voie de communication.
6 Rec. UIT-T X.814 (1995 F)
ISOKEI 10181-5 : 1996 (F)
. Menaces contre la confidentialité
Il existe une seule menace générique contre les informations protégées par la confidentialité, à savoir la divulgation des
informations protégées. Plusieurs menaces existent à l’encontre des données protégées par la confidentialité, qui
correspondent aux diverses façons dont les informations protegées par la confidentialité peuvent être déduites des
données. On trouvera ci-après une description des menaces qui concernent les données protégées par la confidentialité
dans différents environnements.
5.4.1 Menaces lorsque la confidentialité est assurée par des mesures visant à empêcher l’accès
Il s’agit notamment des menaces suivantes:
1) pénétration du mécanisme d’interdiction de lac&, par exemple:
exploitation des faiblesses dans les voies physiquement protégées;
a)
b) usurpation d’identité ou utilisation inadéquate de certificats;
exploitation des faiblesses dans la mise en œuvre du mécanisme de prévention (par exemple, un
Cl
utilisateur peut demander l’accès a un fichier A, se voir accorder l’accès audit fichier et ensuite
modifier le nom du fichier pour avoir accès à un autre fichier, B);
d) intégration de chevaux de Troie dans le logiciel de confiance;
2) pénétration des services dont dépend le mécanisme de prévention (par exemple, usurpation d’identité
lorsque l’accès est fondé sur l’authentification de l’identité, utilisation impropre de certificats ou
pénétration du mécanisme d’intégrité servant à protéger les certificats);
3) exploitation des programmes utilitaires du système qui peuvent divulguer, directement ou indirectement,
des informations sur le système;
4) voies occultes.
5.4.2 Menaces lorsque la confidentialité est assurée par la dissimulation des informations
Il s’agit notamment des menaces suivantes:
du mécanisme cryptographique (que ce soit par une analyse cryptographique, par des clés
pénétration
1)
détournees, des attaques sous forme de texte en cl air choisi ou par d’autres moyens);
Par
2) analyse du trafic;
3) analyse des en-têtes d’unité PDU;
4) voies occultes.
55 . Types d’attaques contre la confidentialité
énumérées ci-dessus correspondent attaques,
A chacune des menaces une ou plusieurs c’est-à-dire des in .stanciations de
menace en question.
la
Il est possible de distinguer des attaques actives et des attaques passives, c’est-à-dire des attaques contre la confidentialité
qui entraînent une modification du système et des attaques contre la confidentialité qui n’entraînent pas de modification
du système.
NOTE - Le fait qu’une attaque soit passive ou active dépend aussi bien des caractéristiques du système que des actions
entreprises par l’attaquant.
Exemples d’attaque passive:
1) lecture secrète des données et branchement clandestin;
2) analyse du trafic;
3) analyse des en-têtes d’unite PDU à des fins non legitimes;
4) copie de données d’unité PDU destinées à d’autres systèmes que ceux qui sont envisagés;
analyse cryptographique.
5)
Exemples d’attaque active:
1) chevaux de Troie (code dont les caractéristiques non documentées facilitent les violations de la sécurité);
voies occultes;
2)
3) pénétration des mécanismes qui assurent la confidentialité, telle que la pénétration du mécanisme
d’authentification (par exemple, usurpation avec succes de l’identité d’une entité autorisée), la pénétration
du mécanisme de contrôle d’accès et l’interception de clés;
invocations parasites de la fonctionnalité
cryptographique, telles que les attaques sous forme de texte en
4)
clair choisi.
Rec. UIT-T X.814 (1995 F)
ISOICEI 10181-S : 1996 (F)
Politiques de confidentialité
Une politique de confidentialité est l’élément de la politique de sécurité qui concerne la mise en œuvre et l’utilisation du
service de confidentialité.
Les données qui représentent des informations dont la confidentialité est protégee font l’objet d’un contrôle concernant
les entités qui peuvent les lire. Une politique de confidentialité doit donc identifier les informations qui font l’objet de
contrôles et indiquer quelles entités doivent normalement être autorisées à les lire.
Selon l’importance relative de la confidentialité des différents types d’information, une politique de confidentialité peut
également indiquer le type et la force des mécanismes qu’il convient d’utiliser afin d’assurer les services de
confidentialité pour chacun des différents types d’information.
La gestion d’une politique de sécurité en termes de confidentialité n’est pas traitée dans la présente Recommandation I
Norme internationale.
61 . Expression des politiques
Dans l’expression d’une politique de confidentialité, des moyens sont nécessaires pour identifier les informations et les
entités en cause.
Une politique de sécurite peut être considérée comme un ensemble de règles. Chacune de ces règles peut, dans une
politique de confidentialité, associer une caractérisation des données et une caractérisation des entités. Dans certaines
politiques, ces règles ne sont pas exprimées explicitement mais peuvent être déduites de la politique.
Un certain nombre de modes d’expression possibles des politiques de confidentialité sont décrits ci-après. Il convient de
noter que, même si certains mécanismes de confidentialité peuvent comporter des aspects parallèles dans des types
particuliers d’expression des politiques, le mode d’expression d’une politique n’implique pas directement l’utilisation d’un
mécanisme spécifique pour la mise en œuvre de cette politique.
6.1.1 Caractérisation des informations
Une politique peut caractériser les informations de diverses manières, par exemple:
1) en identifiant l’entité qui les crée;
2) en identifiant un groupe d’entités dont l’une quelconque des entités peut les lire;
3) par leur emplacement;
4) en identifiant le contexte dans lequel les données sont présentées (par exemple, leur fonction envisagée).
6.1.2 Caractérisation des entités
Il existe plusieurs manières de caractériser les entités qui entrent en jeu dans une règle de politique de confidentialité.
Deux de ces manières généralement rencontrées consistent à identifier individuellement et sans ambiguïté les entités ou à
associer des attributs à chaque entité. Ces deux formes de caractérisation des entités donnent lieu à deux types de
politique, à savoir les politiques fondées sur l’identité et les politiques fondées sur des règles. Ces politiques sont
examinées en détail dans le cadre du contrôle d’accès (voir la Rec. UIT-T X.812 I ISOKEI 10181-3).
7 Informations et fonctions de confidentialité
Informations de confidentialité
71 l
Les opérations de dissimulation et de révélation sont examinées au 5.1.2. L’Annexe B montre, à l’aide de la Figure B. 1,
comment les donnees passent d’un environnement protégé par la confidentialité à un autre en utilisant ces opérations.
Avec certains mécanismes de confidentialités, les opérations de dissimulation et de révélation des données utilisent des
informations auxiliaires. Ces informations auxiliaires sont appelées respectivement «informations de confidentialité
«dissimulation» (HCI)» et «informations de confidentialité «révélation» (RCI)».
Rec. UIT-T X.814 (1995 F)
ISOKEI 10181-S : 1996 (F)
7.1.1 Informations de confidentialité «dissimulation»
Les informations de confidentialité «dissimulation», HCI, sont des informations
utilisées l’opération de
dissimulation.
Citons, à titre d’exemple:
1) les clés publiques;
2) les clés symétriques;
3) l’emplacement où les données doivent être mises en mémoire;
4) les règles de segmentation.
Informations de confidentialité «révélation»
7.1.2
Les informations de confidentialité «révélation», RCI, sont des informations utilisées par l’opération de révélation.
Citons, à titre d’exemple:
1) les clés privées;
2) les clés symhriques;
3) l’emplacement où les données ont été mises en mémoire;
4) les règles de segmentation.
Fonctions de confidentialité
72 0
Un certain nombre de fonctions de confidential
...