Comprendre PKCS#11 et les Tokens
🎯 Objectif
Ce guide vous explique ce qu'est PKCS#11 et comment les tokens/cartes à puce fonctionnent avec TEIF MANAGER.
🤔 Qu'est-ce que PKCS#11 ?
Définition
PKCS#11 (Public-Key Cryptography Standards #11) est un standard international qui définit comment les applications communiquent avec les dispositifs cryptographiques (tokens, cartes à puce, HSM).
💡 En termes simples :
C'est comme un traducteur universel entre TEIF MANAGER et votre token/carte à puce.
Analogie
| Composant | Analogie |
|---|---|
| Token/Carte | Un coffre-fort contenant votre clé de signature |
| Pilote PKCS#11 | La clé du coffre-fort (permet d'y accéder) |
| TEIF MANAGER | La personne qui veut utiliser la clé de signature |
| Code PIN | Le code secret pour ouvrir le coffre |
🔐 Qu'est-ce qu'un Token ?
Token USB
Un token USB est une clé USB sécurisée qui contient :
- ✅ Votre certificat numérique TunTrust
- ✅ Votre clé privée de signature (protégée par PIN)
- ✅ Un processeur cryptographique (pour signer de manière sécurisée)
✅ Avantages :
- Portable (format clé USB)
- Brancher & utiliser (Plug & Play)
- Pas besoin de lecteur externe
Carte à Puce + Lecteur
Une carte à puce (format carte bancaire) nécessite un lecteur de carte USB.
✅ Avantages :
- Plus robuste qu'un token USB
- Moins de risque de casse
- Format familier (carte bancaire)
⚙️ Le Pilote PKCS#11
Rôle du Pilote
Le pilote PKCS#11 est un petit logiciel (fichier .dll ou .so) qui :
- Détecte votre token/carte lorsqu'il est branché
- Permet à TEIF MANAGER de communiquer avec lui
- Envoie les commandes de signature de manière sécurisée
Exemples de Pilotes
| Fabricant | Nom du Pilote | Fichier Typique |
|---|---|---|
| SafeNet eToken | eToken PKCS#11 | C:\Windows\System32\eToken.dll |
| Gemalto | Gemalto Classic Client | C:\Windows\System32\gclib.dll |
| Oberthur | AWP PKCS#11 | C:\Program Files\Oberthur\AWP\DLLs\OcsCryptoki.dll |
🔒 Sécurité et Code PIN
Pourquoi un Code PIN ?
Le code PIN protège l'accès à votre clé de signature :
- ✅ Même si quelqu'un vole votre token, il ne peut pas signer sans le PIN
- ✅ Protection contre l'utilisation non autorisée
- ✅ Blocage après 3 tentatives incorrectes
⚠️ Attention
Après 3 saisies incorrectes, le token se bloque. Vous devrez contacter TunTrust pour le débloquer (procédure payante).
Bonnes Pratiques
- ❌ Ne partagez JAMAIS votre code PIN
- ❌ Ne l'écrivez pas sur le token lui-même
- ✅ Mémorisez-le ou utilisez un gestionnaire de mots de passe sécurisé
- ✅ Changez le PIN par défaut dès la première utilisation (si possible)
🔄 Processus de Signature avec PKCS#11
Étape par Étape
- Branchement : Vous branchez le token USB (ou insérez la carte)
- Détection : Le pilote PKCS#11 détecte le token
- Connexion : TEIF MANAGER communique avec le token via le pilote
- Authentification : Vous saisissez votre code PIN
- Déverrouillage : Le token déverrouille l'accès à la clé privée
- Signature : TEIF MANAGER envoie le document à signer
- Cryptographie : Le token signe de manière sécurisée (la clé ne sort jamais du token)
- Retour : La signature est renvoyée à TEIF MANAGER
🔐 Sécurité Maximale :
La clé privée ne quitte jamais le token. Tout le processus cryptographique se fait à l'intérieur du token.
💡 Questions Fréquentes
Puis-je utiliser plusieurs tokens sur le même PC ?
✅ Oui, mais un seul à la fois. Déconnectez le premier avant de brancher le second.
Le pilote est-il fourni avec le token ?
⚠️ Parfois sur un CD. Mais il est recommandé de télécharger la dernière version depuis le site du fabricant.
Puis-je copier ma clé privée du token ?
❌ Non. La clé privée est protégée et ne peut pas être extraite (c'est une mesure de sécurité).
Le token fonctionne-t-il sur Mac/Linux ?
⚠️ Cela dépend du fabricant. La plupart supportent Windows uniquement. TEIF MANAGER est une application Windows.
Combien de certificats peut contenir un token ?
✅ Généralement 1 à 5, selon le modèle. Consultez la documentation du fabricant.
🔗 Guides Associés
- 👉 Installer le pilote PKCS#11
- 👉 Connecter votre token/carte à puce
- 👉 Prérequis pour la signature
- 👉 Dépannage : Token non détecté
📞 Support
Support Fabricant du Token
Pour les questions sur le pilote ou le matériel, contactez le fabricant de votre token.
Support BTB LABS (TEIF MANAGER)
📧 Email : support@teif.tn
⏰ Lundi - Vendredi, 9h - 17h (GMT+1)