Technologie

Aide sur les détails techniques

Principales questions

Cette fonctionnalité est désactivée. Veuillez accepter les cookies fonctionnels pour utiliser notre service.

Génération de certificat avec OpenSSL

Cette fonctionnalité est désactivée. Veuillez accepter les cookies fonctionnels pour utiliser notre service.

Qu'est-ce qu'une identité revendiquée ?

Cette fonctionnalité est désactivée. Veuillez accepter les cookies fonctionnels pour utiliser notre service.

Comment passer un appel de vérification

H | Intégration et configuration de l'interface

Principalement oui. En cas d'utilisation du nom et du prénom, il doit être exactement le même que celui figurant sur la pièce d'identité ou le passeport. Mais si cela est difficile à mettre en œuvre, la fonctionnalité de modèle peut prendre en charge ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Cette fonction permet de reprendre exactement le prénom et le nom qui ont été utilisés lors de l'identification en combinaison avec le service RA (SRS).

Swisscom est également en mesure de configurer le service de manière à ce que seul un pseudonyme soit utilisé à la place du nom et du prénom. De plus, le « Nom commun » (CN) pourrait être utilisé avec les noms habituellement utilisés pour cette personne (indépendants de la pièce d'identité). L'appel de vérification RA-Service vérifie dans ce cas le numéro de mobile qui a été utilisé lors de l'identification et le pays. L'utilisation du pseudonyme dans le verifyCall est indépendante de l'utilisation du pseudonyme dans l'appel de demande de signature.

Oui, il existe plusieurs bibliothèques disponibles sur le marché qui permettent une implémentation rapide d'une application de signature. Tous bénéficient également d'un support spécial pour Swisscom Service:

Intarsys est un partenaire premium de Swisscom et connaît très bien le service AIS d'un point de vue technique et peut fournir une assistance en matière de conseil.

Swisscom décline toute responsabilité quant au fonctionnement sans erreur de ces bibliothèques. Ceux-ci peuvent contenir des erreurs et nécessitent des connaissances et une expertise particulières. L'utilisation est aux risques et périls de l'abonné.

Voir https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

Il existe un mode test et démo qui vous permet d'essayer l'application, mais aucune donnée n'est transmise. A cet effet, le numéro de téléphone mobile +41001234567 doit être renseigné dans le formulaire d'inscription et le nom de l'entreprise « demo ».

Non. Swisscom exige même que, lorsque l'écran PWD/OTP est intégré en tant qu'« iFrame », une personne externe puisse vérifier qu'il provient de Swisscom. Il est par exemple possible d'utiliser les fonctions de navigateur standard que Swisscom publie sous son lien Internet conformément au chapitre 4 des conditions d'utilisation. Pour l'intégration iFrame, consultez https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Il n'y a pas de prise en charge de la capture d'écran en tant qu'interface. Developers pourrait être confronté au fait que les écrans vont être changés. Elle est également contradictoire avec la mise en place d'un « contrôle unique » entre le signataire et le certificat de signature.

Oui, mais uniquement en tant qu'iFrame, les instructions peuvent être trouvées ici : https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Non, voir https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

Oui, comme décrit dans le Guide de référence ( www.swisscom.com/signing-service ) sous « Méthode Step-Up » dans le champ « Message », le bloc de texte avec l'en-tête du message pour l'expression de l'intention et la langue le réglage avec « Langue » peut être configuré dans le cadre du protocole. Pour la fenêtre de saisie SMS, la langue peut également être définie avec le paramètre « Langue ».

La condition préalable à l'installation est une « déclaration de configuration et d'acceptation » signée par le client et vérifiée par l'autorité d'enregistrement mondiale. Cette déclaration contient les obligations de l'exploitant d'une application de signature (par exemple la possibilité d'afficher le document complet à signer, la sécurisation de l'accès au service), mais aussi les caractéristiques du service.

Un autre prérequis est un certificat d'accès, qui sécurise la communication de l'application de signature au service de signature.

Après vérification du document, notre Service Setup reçoit l'ordre d'activer le service avec le certificat d'accès envoyé et la spécification choisie dans la déclaration de configuration et d'acceptation. Dans le cas des signatures qualifiées, le service n'est initialement activé que pour les signatures « avancées ». Par la suite, il est demandé au contact nommé dans la déclaration de configuration et d'acceptation un exemple de signature avec la signature avancée. Si celui-ci est irréprochable, le service passe au niveau « qualifié » si nécessaire. Le client en sera également informé. Il dispose désormais de 10 jours pour signaler toute irrégularité directement à l'équipe de configuration. S'ils ne reçoivent aucune réclamation pendant ce délai, la connexion au service est acceptée. D'autres incidents peuvent ensuite être signalés à Swisscom via 1st Level Support en cas de contact direct avec Swisscom ou le partenaire revendeur.

Le certificat d'accès peut être un certificat auto-signé. Par exemple avec le logiciel openssl.

Exigences pour le nom distinctif :

  • CN=<URL du système d'abonné qui effectue la communication avec l'AIS ou autre identification unique du système d'abonné>
  • O=<Nom de l'organisation>
  • Email=<E-Mail à des fins de notification, par exemple en cas de fin de validité>
  • C=<Pays de l'organisation>

Les exigences supplémentaires suivantes doivent être prises en compte lors de la préparation du certificat :

  • Durée maximale 3 ans
  • Algorithme de hachage minimum SHA-256
  • Longueur de clé minimum 2048 bits

Des conditions particulières s'appliquent toujours aux certificats d'accès dans le cadre de la création d'un sceau réglementé (ZertES) ou qualifié (eIDAS) : La clé privée du certificat d'accès doit être créée sur un module cryptographique lors d'une cérémonie conjointe d'un représentant de l'autorité d'enregistrement de Swisscom. Ce module doit répondre aux exigences de FIPS 140-2 niveau 2 ou similaire, par exemple Yubikey, Feitan key ou Microsoft Key Vault. Alternativement, un concept peut être soumis sur la manière dont l'attribution du certificat d'accès à la personne responsable de l'organisation peut être réalisée par d'autres moyens.

Dans le cas d'un sceau, en plus de la configuration et de la déclaration d'acceptation par l'exploitant de la plateforme de signature, il nécessite également une demande de certificat pour le certificat de sceau, un certificat d'organisation. Contrairement au certificat de signature personnelle, le certificat de sceau est délivré pour trois ans. La demande de certificat doit être signée par les personnes autorisées de l'organisation. L'autorisation peut résulter du registre (par exemple procuration) ou peut également être une procuration spéciale, qui a été délivrée par exemple pour les opérateurs du centre informatique. Swisscom a besoin de la preuve de cette procuration. Ces personnes sont également identifiées personnellement au préalable par un représentant du bureau d'enregistrement de Swisscom à l'aide de la RA-App. Il peut également s'agir, par exemple, d'un agent RA d'un revendeur qui a procédé à l'identification personnelle. Cela permet à la personne de signer la demande à l'aide d'une signature électronique. La demande est envoyée à Swisscom non signée et Swisscom invite les personnes à signer électroniquement. Les prochaines étapes diffèrent désormais selon le type de joint :

Signature avancée: Le demandeur envoie à Swisscom un certificat SSL qu'il souhaite utiliser comme certificat d'accès pour l'interface avec le sceau.

Signature qualifiée/régulée : Le demandeur convient d'une date avec Swisscom pour la création conjointe d'une clé privée. Celle-ci doit être créée sur un dispositif cryptographique basé sur la qualification FIPS 140-2 niveau 2 ou similaire (ex. Yubikey, Feitan Key, Key Vault HSM Microsoft, etc.) Un certificat d'accès est alors créé sur la base de cette clé. C'est-à-dire que pour le processus de signature, l'accès doit être libéré au moyen de ce certificat. Alternativement, un concept peut être soumis sur la manière dont l'attribution du certificat d'accès à la personne responsable de l'organisation peut être réalisée par d'autres moyens.

L'intégration des hachages signés devrait être la tâche des spécialistes PDF ou des bibliothèques correspondantes. L'espace pour la signature doit être précalculé. Veuillez consulter https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

La solution suivante peut fournir une solution. Nous le présentons ici sans garantie, car Swisscom se concentre uniquement sur le service et non sur l'application de signature :

  • Créer un PDF avec un champ de signature vide et pré-rempli
  • La plage d'octets doit être remplie de zéros jusqu'à la taille attendue
  • Calculer le hachage du document
  • Signez le hachage avec le All-in Signing Service
  • Remplissez le hachage signé dans le champ de signature vide
  • Itérer jusqu'au champ de signature vide
  • Déterminer la plage d'octets du champ de signature vide
  • Calculer le décalage de la plage d'octets
  • Ouvrez le document avec le champ de signature vide en mode lecture-écriture et recherchez le décalage où le hachage a été inséré

Il est également très important de suivre les directives de la norme PADES et de la validation à long terme : https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Dans les paramètres retournés de l'appel de vérification, le soi-disant "série" est retourné. Si cela commence par « SAS » (c'est-à-dire SASxxxxxxx), le client utilisera l'authentification PWD/OTP. S'il commence par « MID » (c'est-à-dire MIDxxxxxx), le client utilise la procédure Mobile ID. Cependant, il n'est pas possible de faire la distinction entre l'application Mobile ID et la carte SIM Mobile ID.

Néanmoins, les résultats peuvent être utilisés, par exemple pour fournir des textes d'aide particuliers (par exemple en cas d'oubli du mot de passe, etc.) au client, ou pour se référer à la déclaration de volonté sur le téléphone mobile.

Le verifyCall vous permet de vérifier si un signataire est déjà enregistré ou non. Si vous choisissez le pseudonyme, vous n'aurez besoin que du numéro de portable et du pays du signataire. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

PKCS#1 n'est pris en charge que pour le format CADES et les sceaux, mais pas pour les signatures personnelles.

Non, uniquement PADES/CADES pour les sceaux et PADES pour les signatures personnelles.

Il aide Swisscom à trouver un nom pour le ClaimedID (accès au signing service).

Oui, cochez simplement la case appropriée.

I | Performance

En ce moment, nous sommes en train d'étendre nos capacités avec d'autres algorithmes (pré-génération de clés) et l'expansion matérielle. Étant donné que plusieurs clients utilisent le service, nous supposons une charge maximale d'une requête par seconde en moyenne par client. Des performances plus élevées, c'est-à-dire des capacités spécialement réservées, sont possibles en option.

Il est limité à 250 pour des raisons de sécurité plutôt que pour la capacité du service.

Veuillez noter que nous avons installé un WAF afin de protéger notre service contre les attaques par déni de service. Si vous souhaitez effectuer des tests de masse, veuillez nous contacter au préalable.

La signature doit être signée avec une déclaration de volonté (autorisation) par Mobile ID (SIM/App) ou PWD/OTP. Après avoir envoyé la demande, l'utilisateur dispose généralement de 80 secondes pour saisir l'autorisation. La valeur n'est pas réglable.

N | Docusign Connector

Vous n'avez pas trouvé votre réponse, contactez notre support.

Formulaire d'assistance
Avons-nous pu vous aider ?

Nous sommes heureux d’avoir pu vous aider.

Il est dommage que nous n’ayons pas encore pu vous apporter la réponse dont vous avez besoin. Notre équipe d’ assistance se fera un plaisir de vous aider.


Nous souhaitons vous fournir dès que possible le contenu d'aide le plus récent dans votre langue. Cette page a été traduite automatiquement et peut contenir des erreurs grammaticales ou des inexactitudes. Vous pouvez visiter la page où nous prenons le contenu original de ici afin d'éviter les malentendus potentiels.

Zoom