Clé EBICS : quelle est la durée de la clé du succès ?

Le 21 avril 2021, un atelier de fabricants EBICS a été organisé par la Deutschen Kreditwirtschaft (DK). Les principaux ajustements apportés à EBICS inclus dans la version 3.0.1 ont été présentés. Pour moi, les adaptations cryptographiques présentées en même temps sont beaucoup plus intéressantes. Elles deviennent obligatoires pour les systèmes clients EBICS à partir de 2021. EBICS utilise 3 paires de clés RSA dans la communication : une paire pour les signatures bancaires, une paire pour l’authentification du fragment EBICS et une paire pour le chiffrement/déchiffrement des messages.

Pour EBICS V2.5, cette adaptation signifie que les signatures bancaires (clés A) doivent posséder au moins une profondeur de clé de 2 048 bits. Pour l’authentification (clé X) et le chiffrement (clé E) un compromis d’au moins 1 984 bits a été décidé, probablement du fait que les cartes à puce Seccos avec des clés de cette longueur existent sur le marché. La clé DS de ces cartes Seccos possède une longueur de clé de 2 048 bits et se trouve dans la zone spéciale de la puce de carte protégée par un PIN alternatif. 

En outre, il a été à nouveau confirmé à tous les participants qu’avec l’utilisation d’EBICS 3.0.1, toutes les clés utilisées pour l’authentification (X00x), le chiffrement (E00x) et la signature bancaire (A00x) ne peuvent plus être plus courtes que 2 048 bits.

Cela signifie pour les fabricants de produits clients qu’un processus de prolongation des clés doit être lancé prochainement, afin que tous les clients puissent facilement migrer vers la nouvelle version EBICS 3.0.1 dès novembre. Si cela n’est pas effectué, la migration vers EBICS 3.0.1 avec les clés existantes – mais trop courtes – ne sera pas possible.

Les produits clients qui n’offrent pas de changement de clé seront du retard. En effet, leurs utilisateurs doivent alors générer de nouvelles clés plus longues dans le cadre d’un processus complexe, puis faire réinitialiser leur accès à l’institution financière et ensuite procéder à une nouvelle remise des clés, y compris la remise d’une lettre INI auprès de leur institution financière. Ensuite, il faut attendre que l’accès EBICS soit à nouveau activé.

Les produits clients EBICS qui offrent à leurs clients un changement de clé doivent relever le défi que seuls les certificats X509 peuvent être utilisés dans la communication EBICS avec EBICS 3.0.1. De nouveaux processus internes sont utilisés dans les produits clients. La mise en œuvre doit donc être bien planifiée et, ne sera généralement pas facile. Cependant, TRAVIC-EBICS-Kernel de PPI AG y contribue, car le progiciel fournit les fonctions nécessaires à un changement facile. Il est recommandé de migrer également de l’ancien format de clé (RDH2) au format PKCS#12 (fichier p12) pour les fichiers clés.

Les cartes à puce représentent également un défi, car elles ne possèdent souvent pas les longueurs de clé nécessaires et doivent être remplacées – si cela est possible. 

Conclusion :
Il est temps de contacter les utilisateurs EBICS utilisant des clés courtes pour mettre à jour les clés avant la migration vers EBICS 3.0.1 ou avant novembre 2021, pour générer leurs nouvelles clés et, dans l’idéal, pour les remettre signées à leurs institutions financières avec les anciennes clés. Les utilisateurs qui ne veulent pas communiquer les exigences de clés applicables à partir de novembre 2021 risquent de faire face à un dysfonctionnement catastrophique de leurs accès EBICS.

Auteur : Michael Schunk

0 commentaires:

Enregistrer un commentaire