Question/Réponse

Le corpus documentaire associé au projet DRIM-M spécifie que les différents logiciels DRIMBox déployés doivent effectuer une récupération quotidienne du fichier de liste blanche mis à disposition par l'ANS. Suite à chacune de ces récupérations, le fichier de liste blanche obtenu doit être vérifié afin de prévenir d'éventuelles corruptions de celui-ci. 
Le processus de contrôle du fichier de liste blanche implique une vérification de la signature qui lui est associée . Pour cela, les informations mentionnées au sein du tag "X509Data" du document liste blanche doivent être exploitées. Ces données correspondent aux principales caractéristiques du certificat utilisé afin de signer le fichier de liste blanche ANS. 
Tel qu'indiqué au sein de la spécification projet DRIMBox, nous préconisons l'utilisation de l'outil eSignSanté afin de valider la conformité de la signature associée au fichier de liste blanche ANS (pour plus de précisions concernant cet outil, voir https://github.com/ansforge/esignsante). 
En complément, nous pouvons indiquer que dans le cadre de l'homologation SEGUR vague 2 DRIM-M, une preuve de mise en oeuvre du processus de vérification de la signature est demandée. Dans ce contexte, les informations suivantes peuvent permettre de répondre à certaines interrogations :   
* Autorité à l'origine de l'émission du certificat utilisé pour la signature de la liste blanche de test : http://igc-sante.esante.gouv.fr/AC%20TEST/ACI-EL-ORG-TEST.cer. 
* CRL associée au certificat  utilisé pour la signature de la liste blanche de test : http://igc-sante.esante.gouv.fr/CRL/ACI-EL-ORG-TEST.crl. 
* Le certificat à mettre en oeuvre afin de signer la preuve de vérification de la signature associée à la liste blanche de test doit être propre à chaque éditeur de solution DRIMBox. Ainsi, dans le cas où l'outil eSignSanté est utilisé, le fichier de configuration "config.json" doit être complété avec un certificat propriétaire au niveau de la section "proof".