[KeyRenewal]

Les sections [KeyRenewal] et [SBox.KeyRenewalWizardYYY] concernent le renouvellement de clés pour des comptes SDS Enterprise existants.

La section [KeyRenewal] est commune à tous les types de compte.

La section [SBox.KeyRenewalWizardYYY] comporte les paramètres spécifiques au renouvellement de clé d'un compte de type YYY, qui peut être :

  • KS : renouvellement d'une clé d'un compte mot de passe KS1 ou KS2,
  • GP : renouvellement d'une clé d'un compte carte GP1 ou GP2.
Paramètre Description
CertLife

Active ou désactive la fonctionnalité du choix de répertoire cible dans lequel est réalisé le déchiffrement. Les valeurs sont :

  • 0 : Désactivé (valeur par défaut),
  • 1 : Activé.

Si la fonctionnalité est désactivée, les trois paramètres suivants ne seront pas pris en compte et le comportement adopté sera celui par défaut.

Types de clé

Liste des clés (type et longueur) à proposer pour la création de compte.

Les types de clés supportés sont définis à l'aide d'items dont la valeur est constituée d'une suite ordonnée de 3 chiffres, chaque chiffre correspondant à un type de compte.

L'ordre des types de compte est : KS, GP, CPS.

Les types de clés supportés et les règles de gestion sur les erreurs de configuration sont définis dans la section Types de clé de l'utilisateur.

Ainsi, si RSA 2048 bits est la valeur par défaut, et si RSA 1024 est interdit, il faut paramétrer :

  • KEY_RSA_512BITS = 111
  • KEY_RSA_768BITS = 111
  • KEY_RSA_1024BITS = 000
  • KEY_RSA_2048BITS = 222

  • KEY_RSA_4096BITS = 111

Types de clé de l'utilisateur

Les types de clés supportés (clés privées de l'utilisateur) sont KEY_RSA_2048BITS et KEY_RSA_4096BITS.

Un type de clé peut être :

  • 0 : non autorisé ;
  • 1 : autorisé ;
  • 2 : autorisé et proposé par défaut.

Pour un type de compte, un seul type de clé peut être autorisé et proposé par défaut.

Les types de clés supportés sont définis à l'aide d'items dont la valeur est constituée d'une suite ordonnée de 6 chiffres, chaque chiffre correspondant à un type de compte. L'ordre des types de comptes est le suivant :

KS1, KS2, GP1, GP2, RFU, CPS2 (RFU et CPS2 ne sont pas utilisés, mais ces colonnes sont nécessaires).

Exemple de paramétrage des types de clés :

Si KEY_RSA_2048BITS est la valeur par défaut, et si KEY_RSA_1024BITS est interdit, il faut paramétrer de la façon suivante :

  • KEY_RSA_1024BITS = 000000
  • KEY_RSA_2048BITS = 222222
  • KEY_RSA_4096BITS =111111

Afin d’éviter l’impossibilité de création d'un compte en cas d’erreur de paramétrage du fichier SBox.ini, les comportements suivants sont adoptés :

  • si aucune valeur par défaut n’est indiquée, la taille de clé la plus forte autorisée est utilisée comme valeur par défaut ;
  • si un caractère non prévu est saisi comme valeur d’un des types de clé, la valeur 0 (valeur non autorisée) est utilisée ;
  • si tous les caractères ne sont pas saisis, les caractères manquants à droite sont considérés comme des 0 (valeur non autorisée). Par exemple, 111 est compris comme étant 111000 ;
  • si plusieurs valeurs par défaut sont indiquées, la valeur par défaut proposée est celle indiquée par défaut et ayant la plus grande taille de clé.

Cependant, si aucun algorithme n’est autorisé pour un type de compte, la génération de clé ne sera pas possible. Cela permet, par exemple, de forcer l’importation de la clé à partir d’un fichier PKCS#12.