ISO 9735-7:1999
(Main)Electronic data interchange for administration, commerce and transport (EDIFACT) — Application level syntax rules (Syntax version number: 4) — Part 7: Security rules for batch EDI (confidentiality)
Electronic data interchange for administration, commerce and transport (EDIFACT) — Application level syntax rules (Syntax version number: 4) — Part 7: Security rules for batch EDI (confidentiality)
Échange de données informatisé pour l'administration, le commerce et le transport (EDIFACT) — Règles de syntaxe au niveau de l'application (Numéro de version de syntaxe: 4) — Partie 7: Règles de sécurité pour le lot EDI (confidentialité)
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 9735-7
First edition
1999-08-01
Electronic data interchange for
administration, commerce and transport
(EDIFACT) — Application level syntax rules
(Syntax version number: 4) —
Part 7:
Security rules for batch EDI (confidentiality)
Échange de données informatisées pour l’administration, le commerce et le
transport (EDIFACT) — Règles de syntaxe au niveau de l’application
(Numéro de version de syntaxe: 4) —
Partie 7: Règles de sécurité pour le lot EDI (confidentialité)
A
Reference number
ISO 9735-7:1999(E)
---------------------- Page: 1 ----------------------
ISO 9735-7:1999(E)
Contents
Page
1 Scope . 1
2 Conformance . 1
3 Normative references . 1
4 Definitions . 2
5 Rules for batch EDI confidentiality . 2
Annex A (normative): Service directories . 11
(Addendum - to be added to Part 1, annex C when approved)
Annex B (informative): Message protection example . 16
Annex C (informative): Processing example . 18
Annex D (informative): Confidentiality service and algorithms . 20
© ISO 1999
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced
or utilized in any form or by any means, electronic or mechanical, including photocopying and
microfilm, without permission in writing from the publisher.
International Organization for Standardization
Case postale 56 • CH-1211 Genève 20 • Switzerland
Internet central@iso.ch
Printed in Switzerland
ii
---------------------- Page: 2 ----------------------
©
ISO ISO 9735-7:1999(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide
federation of national standards bodies (ISO member bodies). The work of
preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which
a technical committee has been established has the right to be represented
on that committee. International organizations, governmental and non-
governmental, in liaison with ISO, also take part in the work. ISO
collaborates closely with the International Electrotechnical Commission
(IEC) on all matters of electrotechnical standardization.
Draft International Standards adopted by the technical committees are
circulated to the member bodies for voting. Publication as an International
Standard requires approval by at least 75 % of the member bodies casting
a vote.
This part of ISO 9735 was prepared by the UN/ECE Trade Division (as
UN/EDIFACT) and was adopted, under a special "fast-track procedure", by
Technical Committee ISO/TC 154, Documents and data elements in
administration, commerce and industry.
Whereas this part supersedes the earlier publications, and shall use a
version number of “4” in the mandatory data element 0002 (Syntax version
number) in the segment UNB (Interchange header), interchanges
continuing to use the syntax defined in the earlier published versions shall
use the following Syntax version numbers, in order to differentiate them
from each other and from this part:
ISO 9735:1988 — Syntax version number: 1
ISO 9735:1988 (amended and reprinted in 1990) — Syntax version
number: 2
ISO 9735:1988 (amended and reprinted in 1990) plus Amend-
— Syntax version number: 3
ment 1:1992
ISO 9735 consists of the following parts, under the general title Electronic
data interchange for administration, commerce and transport (EDIFACT) -
Application level syntax rules (Syntax version number: 4):
— Part 1: Syntax rules common to all parts, together with syntax service
directories for each of the parts
— Part 2: Syntax rules specific to batch EDI
— Part 3: Syntax rules specific to interactive EDI
— Part 4: Syntax and service report message for batch EDI (message
type - CONTRL)
— Part 5: Security rules for batch EDI (authenticity, integrity and non-
repudiation of origin)
iii
---------------------- Page: 3 ----------------------
©
ISO 9735-7:1999(E) ISO
— Part 6: Secure authentication and acknowledgement message
(message type - AUTACK)
— Part 7: Security rules for batch EDI (confidentiality)
— Part 8: Associated data in EDI
— Part 9: Security key and certificate management message (message
type - KEYMAN)
Further parts may be added in the future.
Annex A forms an integral part of this part of ISO 9735. Annexes B, C and
D are for information only.
iv
---------------------- Page: 4 ----------------------
©
ISO ISO 9735-7:1999(E)
Introduction
This part of ISO 9735 includes the rules at the application level for the
structuring of data in the interchange of electronic messages in an open
environment, based on the requirements of either batch or interactive
processing. These rules have been agreed by the United Nations
Economic Commission for Europe (UN/ECE) as syntax rules for Electronic
Data Interchange for Administration, Commerce and Transport (EDIFACT)
and are part of the United Nations Trade Data Interchange Directory
(UNTDID) which also includes both batch and interactive Message Design
Guidelines.
This part of ISO 9735 may be used in any application, but messages using
these rules may only be referred to as EDIFACT messages if they comply
with other guidelines, rules and directories in the UNTDID. For
UN/EDIFACT, messages shall comply with the message design rules for
batch or interactive usage as applicable. These rules are maintained in the
UNTDID.
Communications specifications and protocols are outside the scope of this
part of ISO 9735 .
This is a new part, which has been added to ISO 9735. It provides an
optional capability of applying confidentiality to an EDIFACT structure i.e.
message, package, group or interchange.
v
---------------------- Page: 5 ----------------------
©
INTERNATIONAL STANDARD ISO ISO 9735-7:1999(E)
Electronic data interchange for administration, commerce and
transport (EDIFACT) — Application level syntax rules
(Syntax version number: 4) —
Part 7:
Security rules for batch EDI (confidentiality)
1 Scope
This part of ISO 9735 for batch EDIFACT security addresses message/package level, group level and interchange
level security for confidentiality in accordance with established security mechanisms.
2 Conformance
Conformance to a standard means that all of its requirements, including all options, are supported. If all options are
not supported, any claim of conformance shall include a statement which identifies those options to which
conformance is claimed.
Data that is interchanged is in conformance if the structure and representation of the data conforms to the syntax
rules specified in this International Standard.
Devices supporting this International Standard are in conformance when they are capable of creating and/or
interpreting the data structured and represented in conformance with the standard.
Conformance to this part shall include conformance to ISO 9735-1, ISO 9735-2 and ISO 9735-5.
When identified in this International Standard, provisions defined in related standards shall form part of the
conformance criteria.
3 Normative references
The following standards contain provisions which, through reference in this text, constitute provisions of this part of
ISO 9735. At the time of publication, the editions indicated were valid. All standards are subject to revision, and
parties to agreements based on this part of ISO 9735 are encouraged to investigate the possibility of applying the
most recent editions of the standards listed below. Members of IEC and ISO maintain registers of currently valid
International Standards.
ISO 9735-1:1998, Electronic data interchange for administration, commerce and transport (EDIFACT) — Application
level syntax rules (Syntax version number: 4) — Part 1: Syntax rules common to all parts, together with syntax
service directories for each of the parts.
Electronic data interchange for administration, commerce and transport (EDIFACT) — Application
ISO 9735-2:1998,
level syntax rules (Syntax version number: 4) — Part 2: Syntax rules specific to batch EDI.
1
---------------------- Page: 6 ----------------------
©
ISO 9735-7:1999(E) ISO
ISO 9735-5:1999, Electronic data interchange for administration, commerce and transport (EDIFACT) — Application
level syntax rules (Syntax version number: 4) — Part 5: Security rules for batch EDI (authenticity, integrity and non-
repudiation of origin)
.
ISO/IEC 10181-5:1996, Information technology — Open Systems Interconnection — Security frameworks for open
systems: Confidentiality framework.
4 Definitions
For the purposes of this part of ISO 9735, the definitions in ISO 9735-1:1998, annex A apply.
5 Rules for batch EDI confidentiality
5.1 EDIFACT confidentiality
The security threats relevant to EDIFACT data transfer and the security services which address them are described
in ISO 9735-5:1999, annexes A and B.
This section describes the solution to provide EDIFACT structures with the security service of confidentiality.
Confidentiality of an EDIFACT structure (message, package, group or interchange) shall be provided by encrypting
the message body, object , messages/packages or messages/packages/groups respectively, together with any
other security header and trailer segment groups, using an appropriate cryptographic algorithm. This encrypted data
may be filtered for use with restricted capability telecommunication networks.
5.1.1 Batch EDI confidentiality
5.1.1.1 Interchange confidentiality
Figure 1 represents the structure of one interchange secured with confidentiality. The service string advice (UNA),
the interchange header segment (UNB) and the interchange trailer segment (UNZ) are unaffected by the
encryption.
If compression is applied it shall be applied before encryption.
The encryption, compression and filter algorithm and parameters are specified in the security header segment
group.
2
---------------------- Page: 7 ----------------------
©
ISO ISO 9735-7:1999(E)
INTERCHANGE
Security Security
MESSAGE(S) / PACKAGE(S)
header trailer
UNA UNB UNZ
segment segment
OR GROUP(S)
group(s) group(s)
Compression
&
Encryption
Security Security
ENCRYPTED
header trailer
UNA UNB USD USU UNZ
segment segment
DATA
group group
Figure 1 — Structure of an interchange whose contents
(message(s)/package(s) or group(s)) have been encrypted (schematic)
3
---------------------- Page: 8 ----------------------
©
ISO 9735-7:1999(E) ISO
5.1.1.2 Group confidentiality
Figure 2 represents the structure of an interchange containing one encrypted group, which has also been secured
for other security services. The group header segment (UNG) and the group trailer segment (UNE) are not affected
by the encryption.
If compression is applied it shall be applied before encryption.
The encryption, compression and filter algorithm and parameters are specified in the security header segment
group.
INTERCHANGE
UNA UNB GROUP GROUP GROUP UNZ
Security Security
header trailer
UNG MESSAGE(S)/PACKAGE(S) UNE
segment segment
group(s) group(s)
Compression
&
Encryption
Security Security
ENCRYPTED
header trailer
UNG USD USU UNE
segment segment
DATA
group group
Figure 2 — Structure of an interchange containing one group whose
contents (group body and associated security header and trailer segment
groups) have been encrypted (schematic)
4
---------------------- Page: 9 ----------------------
©
ISO ISO 9735-7:1999(E)
5.1.1.3 Message confidentiality
Figure 3 represents the structure of an interchange containing one encrypted message, which has also been
secured for another security service. The message header segment (UNH) and message trailer segment (UNT) are
not affected by the encryption.
If compression is applied it shall be applied before encryption.
The encryption, compression and filter algorithm and parameters are specified in the security header segment
group.
INTERCHANGE
UNA UNB MESSAGE MESSAGE MESSAGE UNZ
Security Security
header trailer
UNH MESSAGE BODY UNT
segment segment
group(s) group(s)
Compression
&
Encryption
Security Security
ENCRYPTED
header trailer
UNH USD USU UNT
segment segment
DATA
group group
Figure 3 — Structure of an interchange containing one message whose
contents (message body and associated security header and trailer segment
groups) have been encrypted (schematic)
5
---------------------- Page: 10 ----------------------
©
ISO 9735-7:1999(E) ISO
5.1.1.4 Package confidentiality
Figure 4 represents the structure of an interchange containing one encrypted package, which has also been
secured for another security service. The package header segment (UNO) and package trailer segment (UNP) are
not affected by the encryption.
If compression is applied it shall be applied before encryption.
The encryption, compression and filter algorithm and parameters are specified in the security header segment
group.
INTERCHANGE
UNA UNB PACKAGE MESSAGE(S) PACKAGE(S) UNZ
Security Security
header trailer
UNO OBJECT UNP
segment segment
group(s) group(s)
Compression
&
Encryption
Security Security
ENCRYPTED
header trailer
UNO USD USU UNP
segment segment
DATA
group group
Figure 4 — Structure of an interchange containing one package whose
contents (object and associated security header and trailer segment groups)
have been encrypted (schematic)
6
---------------------- Page: 11 ----------------------
©
ISO ISO 9735-7:1999(E)
5.1.2 Data encryption header and trailer segment structure
TAG Name S R
˜˜˜˜˜Segment Group 1 ˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜C99˜˜˜˜˜˜˜˜¿
USH Security Header M 1 ‡
USA Security Algorithm C 3 ‡
˜˜˜˜˜Segment Group 2 ˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜C2˜˜˜˜¿ ‡
USC Certificate M 1 ‡ ‡
USA Security Algorithm C 3 ‡ ‡
USR Security Result C 1˜˜˜˜`˜˜˜
USD Data Encryption Header M 1
Encrypted data
USU Data Encryption Trailer M 1
˜˜˜˜˜Segment Group n ˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜C99˜˜˜˜˜˜˜˜¿
UST Security Trailer M 1 ‡
USR Security Result C 1˜˜˜˜˜˜˜˜
Figure 5 — Security header and trailer segment groups segment table
Note: The segments USH, USA, USC, USR and UST are specified in ISO 9735-5. They are not described
further in this part.
5.1.3 Data segment clarification
Segment Group 1: USH-USA-SG2 (security header segment group)
A group of segments identifying the security service and security mechanisms applied and containing the data
necessary to carry out the validation calculations.
There shall be only one security header segment group for confidentiality.
USH, Security header
A segment specifying the security service of confidentiality applied to the EDIFACT structure in which the
segment is included (as defined in ISO 9735-5).
USA, Security algorithm
A segment identifying a security algorithm, the technical usage made of it, and containing the technical
parameters required. This shall be the algorithm(s) applied on the message body, object ,
messages/packages or messages/packages/groups. These algorithm(s) shall be owner symmetric, owner
compressing or owner compression integrity.
Asymmetric algorithms shall not be referred to directly in this USA segment within segment group 1 but may
appear only within segment group 2, triggered by a USC segment.
If compression is applied to the data before encryption, an occurrence of USA is used to specify the algorithm
and optional mode of operation. Additional parameters, such as initial directory tree, may be specified as
parameter value within this USA segment.
If compression is applied and the compression algorithm used does not contain built-in integrity verification,
occurrence of an USA segment may be used to specify this. The integrity verification value is calculated over
the compressed text before encryption. Location (i.e. octet offset) of the integrity verification value within the
compressed data may be specified as a parameter value. The size (in octets of bits) of the integrity
verification value is given indirectly by the integrity verification algorithm used.
7
---------------------- Page: 12 ----------------------
©
ISO 9735-7:1999(E) ISO
Segment Group 2: USC-USA-USR (certificate group)
A group of segments containing the data necessary to validate the security methods applied to the EDIFACT
structure, when asymmetric algorithms are used (as defined in ISO 9735-5).
USC, Certificate
A segment containing the credentials of the certificate owner and identifying the certification authority which
has generated the certificate (as defined in ISO 9735-5).
USA, Security algorithm
A segment identifying a security algorithm, the technical usage made of it, and containing the technical
parameters required (as defined in ISO 9735-5).
USR, Security result
A segment containing the result of the security functions applied to the certificate by the certification authority
(as defined in ISO 9735-5).
USD, Data encryption header
This segment specifies the size in octets of bits of the compressed (optional), encrypted and filtered (optional) data.
A reference number used to identify the encrypted EDIFACT structure may be specified. If a reference number is
present the same reference number in both the USD and USU segment shall be used.
If padding is applied before encryption, the number of padded octets of bits may be specified.
Encrypted data
This part contains the encrypted data encrypted using the algorithms and mechanisms specified in the security
header segment group.
USU, Data encryption trailer
This segment specifies the size in octets of bits of the compressed (optional), encrypted and filtered (optional) data.
A reference number used to identify the encrypted EDIFACT structure may be specified. If a reference number is
present the same reference number in both the USD and USU segment shall be used.
Segment Group n: UST-USR (security trailer segment group)
A group of segments containing a link with security header segment group and the result of the security functions
applied to the EDIFACT structure (as defined in ISO 9735-5).
UST, Security trailer
A segment establishing a link between security header and security trailer segment group, and stating the
number of security segments contained in these groups, plus the USD and USU segments.
USR, Security result
A segment containing the result of the security functions applied to the EDIFACT structure as specified in the
linked security header group (as defined in ISO 9735-5). This segment shall not be present for the security
service of confidentiality.
5.1.4 Use of data encryption header and data encryption trailer for confidentiality
An EDIFACT structure, which is transformed into encrypted data, is packed within a data encryption header and
data encryption trailer. The encrypted data and the associated security header and trailer segment groups are
replacing the original message body, object or message(s)/package(s)/group(s). The header and trailer of an
EDIFACT structure that is encrypted are not affected by the encryption applied.
The encrypted data shall start immediately after the separator ending the USD segment that shall specify the length
of the encrypted data in octets of bits. The encrypted data is followed by a USU segment that again specifies the
length of the encrypted data, which shall be the same as in the USD segment.
8
---------------------- Page: 13 ----------------------
©
ISO ISO 9735-7:1999(E)
5.1.5 Use of security header and security trailer segment groups for confidentiality
As defined in ISO 9735-5, one security header segment group specifying confidentiality and one security trailer
segment group shall be included. The security trailer segment group used for confidentiality shall contain only a
UST segment.
Once an EDIFACT structure has been encrypted, no other EDIFACT security services shall be provided to it.
5.2 Principles of usage
5.2.1 Multiple security services
If more than one security service is required at the same time, apart from confidentiality, this shall be done,
according to the rules defined in ISO 9735-5, before encryption by the party sending the EDIFACT structure. The
receiving party shall perform the related verifications after decryption.
5.2.2 Confidentiality
Confidentiality of an EDIFACT structure shall be provided in accordance to the principles defined in ISO 10181-5.
The security service of confidentiality shall be specified in the security header segment group, and the algorithm
shall be identified in a USA segment in segment group 1. This USA segment may also contain the data necessary
to establish the key relationship between the parties acting as security originator and security recipient.
The party acting as security originator shall encrypt the EDIFACT structure, from immediately after the segment
terminator of its header segment (interchange, group, message or package), to immediately before the first
character of its segment trailer (interchange, group, message or package), and consider the result as encrypted
data. Upon reception of encrypted data, the party acting as security recipient shall decrypt the encrypted data and
thus shall recover the original EDIFACT structure, excluding the header and trailer segments.
5.2.3 Internal representation and filter functions
The result of the encryption process is a seemingly random bit-string. This may cause difficulties with certain
restricted capability telecommunication networks. To avoid this problem, the bit-string may be reversibly mapped on
to a particular character set by means of a filtering function.
The consequence of using a filtering function is to expand the size of the encrypted data. Different filtering functions
may be used which have slightly different expansion factors. Some may allow the filtered text to contain any
character of the target character set, including service characters such as segment terminators, whereas other filter
functions may filter out these service characters.
The length of data conveyed in the data element “length of data in octets of bits” in the USD and USU segments
shall represent the length of the (compressed,) encrypted (and filtered) data. This shall be used to determine the
end of the encrypted data. The filter function used shall be indicated in 0505 (filter function, coded) of the USH in
the confidentiality security header segment group.
5.2.4 Use of compression techniques before encryption
The computing cost of encryption being directly related to the size of the data to encrypt, it may be useful to
compress the data before encryption.
Most compression techniques would not be efficient on encrypted text, even filtered, thus if compression is required,
it shall be applied before encryption.
Consequently, when it is used for the confidentiality security service, the security header segment group may
contain the indication that data have been compressed before encryption, and may identify the compression
algorithm and optional parameters used. In such a case, after decryption of the encrypted data, the data shall be
decompressed before the EDIFACT structure is recovered.
9
---------------------- Page: 14 ----------------------
©
ISO 9735-7:1999(E) ISO
5.2.5 Processing order of operations
5.2.5.1 Encryption and related operations
When processing an EDIFACT structure to provide confidentiality, operations shall be performed as follows:
1. Compress the EDIFACT structure (optional) and calculate integrity value on the compressed data (optional);
2. Encrypt the (compressed and integrity protected) EDIFACT structure;
3. Filter the (compressed and integrity protected) encrypted data (optional).
5.2.5.2 Decryption and related operations
When processing an encrypted EDIFACT structure to recover an original EDIFACT structure, operations shall be
performed as follows:
1. Unfilter the filtered encrypted data (if filtered);
2. Decrypt the encrypted data;
3. Verify integrity value on the compressed data (if integrity value is present) and expand (i.e. decompress) the
decrypted data to recover the original EDIFACT structure (if compressed).
10
---------------------- Page: 15 ----------------------
©
ISO ISO 9735-7:1999(E)
Annex A
(normative)
Addendum - to be added to Part 1 annex C when approved
Service directories
(service segments, service composite data elements
and service simple data elements)
A.1 Service segment directory
A.1.1 Service segment specification legend:
Function The function of the segment
POS The sequential position number of the stand-alone data element or composite data element in the
segment table
TAG The tags of all service segments contained in the segment directory start with the letter “U”. The tags
of all service composite data elements start with the letter "S", and the tags of all service simple data
elements start with the figure "0"
Name Name of a COMPOSITE DATA ELEMENT in capital letters
Name of a STAND-ALONE DATA ELEMENT in capital letters
Name of a component data element in small letters
S The status of the stand-alone data element or composite data element in the segment, or of the
components in the composite (where M = Mandatory and C = Conditional)
R The maximum number of occurrences of a stand-alone data element or composite data element in the
segment
Repr. Data value representation of the stand-alone data element or component data elements in the
composite.
a alphabetic characters
n numeric characters
an alphanumeric characters
a3 3 alphabetic characters, fixed length
n3 3 numeric characters, fixed length
an3 3 alphanumeric characters, fixed length
a.3 up to 3 alphabetic characters
n.3 up to 3 numeric characters
an.3 up to 3 alphanumeric characters
11
---------------------- Page: 16 ----------------------
©
ISO 9735-7:1999(E) ISO
A.1.2 Dependency note identifiers
Code Name
D1 One and only one
D2 All or none
D3 One or more
D4 One or none
D5 If first, then all
D6 If first, then at least one more
D7 If first, then none of the others
See clause 11.5 in ISO 9735-1:1998 for the definition of the dependency note identifiers.
A.1.3 Index of service segments by tag
TAG Name
USD Data encryption header
USU Data encryption trailer
A.1.4 Index of service segments by name
TAG Name
USD Data encryption header
USU Data encryption trailer
12
---------------------- Page: 17 ----------------------
©
ISO ISO 9735-7:1999(E)
A.1.5 Service segment specifications
Note: Only service segments not defined in other parts of ISO 9735 are included here.
---------------------------------------------------------------------------
USD DATA ENCRYPTION HEADER
Function: To specify size (i.e. length of data in octets of bits) of
encrypted data following the segment terminator
of this segment.
POS TAG Name S R Repr. Notes
010 0556 LENGTH OF DATA IN OCTETS OF BITS M 1 n.18
020 0518 ENCRYPTION REFERENCE NUMBER C 1 an.35
030 0582 NUMBER OF PADDING BYTES C 1 n.2
---------------------------------------------------------------------------
USU DATA ENCRYPTION TRAILER
Function: To provide a trailer for the encrypted data.
POS TAG Name S R Repr. Notes
010 0556 LENGTH OF DATA IN OCTETS OF BITS M 1 n.18 1
020 0518 ENCRYPTION REFERENCE NUMBER C 1 an.35 2
NOTES:
1. 0556, the value shall be identical to the value in 0556 in the
corresponding USD segment.
2. 0518, the value shall be identical to the value in 0518 in the
corresponding USD segment.
---------------------------------------------------------------------------
13
---------------------- Page: 18 ----------------------
©
ISO 9735-7:1999(E) ISO
A.3 Service simple data element directory
A.3.1 Service simple data element specification legend:
The tags of all service simple data elements contained in the simple data element directory start with the figure “0”.
Name Name of a simple data element
Desc. Description of the simple data element
Repr. Data value representation of the simple data element:
a alphabetic characters
n numeric characters
an alphanumeric characters
a3 3 alphabetic characters, fixed length
n3 3 numeric characters, fixed length
an3 3 alphanumeric characters, fixed length
a.3 up to 3 alphabetic characters
n.3 up to 3 numeric characters
an.3 up to 3 alphanumeric characters
A.3.2 Index of service simple data elements by tag
TAG Name
0518 Encryption reference number
0556 Length of data in octets of bits
0582 Number of padding bytes
A.3.3 Index of service simple data elements by name
TAG Name
0518 Encryption reference number
0556 Length of data in octets of bits
0582 Number of padding bytes
14
---------------------- Page: 19 ----------------------
©
ISO ISO 9735-7:1999(E)
A.3.4 Service simple data element specifications
Note: Only service simple data elements not defined in other parts of ISO 9735 are included here.
---------------------------------------------------------------------------
0518 ENCRYPTION REFERENCE NUMBER
Desc: Reference number to the encrypted EDIFACT structure.
Repr: an.35
---------------------------------------------------------------------------
0556 LENGTH OF DATA IN OCTETS OF BITS
Desc: A count of the data octets of bits.
Repr: n.18
---------------------------------------------------------------------------
0582 NUMBER OF PADDING BYTES
Desc: Count of the number of padding bytes.
Repr: n.2
---------------------------------------------------------------------------
15
---------------------- Page: 20 ----------------------
©
ISO 9735-7:1999(E) ISO
Annex B
(informative)
Message protection example
One example is provided herein to illustra
...
NORME ISO
INTERNATIONALE 9735-7
Première édition
1999-08-01
Échange de données informatisé pour
l'administration, le commerce et le
transport (EDIFACT) — Règles de syntaxe
au niveau de l'application (numéro de
version de syntaxe: 4) —
Partie 7:
Règles de sécurité pour le lot EDI
(confidentialité)
Electronic data interchange for administration, commerce and transport
(EDIFACT) — Application level syntax rules (Syntax version number: 4) —
Part 7: Security rules for batch EDI (confidentiality)
Numéro de référence
ISO 9735-7:1999(F)
©
ISO 1999
---------------------- Page: 1 ----------------------
ISO 9735-7:1999(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier peut
être imprimé ou visualisé, mais ne doit pas être modifiéà moins que l'ordinateur employéà cet effet ne bénéficie d'une licence autorisant
l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées acceptent de fait la
responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute responsabilité en la
matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la créationduprésent fichier PDF sont disponibles dans la rubrique General Info du
fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir l'exploitation de
ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation, veuillez en informer le
Secrétariat central à l'adresse donnée ci-dessous.
© ISO 1999
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque
forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l’ISO à
l’adresse ci-aprèsouducomité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 � CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch
Version française parue en 2000
Imprimé en Suisse
ii © ISO 1999 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 9735-7:1999(F)
Sommaire Page
1 Domaine d’application .1
2 Conformité.1
3Références normatives .1
4Définitions .2
5Règles de confidentialité pour l’EDI par lots .2
Annexe A Addendum—à ajouter à l’annexe C de la Partie 1 une fois approuvée — Répertoires
syntaxiques de service (segments, éléments de données composites et éléments de données
simples) .11
Annexe B Exemple de protection d’un message .16
Annexe C Exemple de traitement.18
Annexe D Service et algorithmes de confidentialité.20
© ISO 1999 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 9735-7:1999(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiéeaux
comités techniques de l'ISO. Chaque comité membre intéressé par une étude aledroit de faire partie ducomité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les projets de Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des comités
membres votants.
La Norme internationale ISO 9735-7 a étéélaborée par la Division du commerce de la Commission Économique
pour l’Europe des Nations Unies (en tant qu’EDIFACT/ONU) et a été adoptée, selon une procédure spéciale par
«voie express»,par le comité technique ISO/TC 154, Documents et éléments de données dans l'administration, le
commerce et l'industrie.
Alors que la présente partie remplace les publications antérieures et qu’un numéro de version «4» doit être attribué
à l’élément de données obligatoire 0002 (numéro de version de syntaxe) du segment UNB (en-tête de l’échange),
les échanges continuant à utiliser la syntaxe définie dans les versions publiées antérieurement doivent reprendre
les numéros suivants de version de syntaxe, afin de se différencier tant les uns des autres que de la présente
partie:
ISO 9735:1988 — Numéro de version de syntaxe: 1
ISO 9735:1988 (modifiéeetréimprimée en 1990) — Numéro de version de syntaxe: 2
ISO 9735:1988 (modifiéeetréimprimée en 1990) plus Amendement 1:1992 — Numéro de version de syntaxe: 3
L'ISO 9735 comprend les parties suivantes, présentées sous le titre général Échange de données informatisé pour
l'administration, le commerce et le transport (EDIFACT) — Règles de syntaxe au niveau de l'application (numéro
de version de syntaxe: 4):
� Partie 1: Règles de syntaxe communes à l’ensemble des parties, accompagnées des répertoires de service
syntaxiques associés à chacune d'elles
� Partie 2: Règles de syntaxe spécifiques à l'EDI par lots
� Partie 3: Règles de syntaxe spécifiques à l'EDI interactif
� Partie 4: Message Compte rendu syntaxique et de service pour l'EDI par lots (type de message CONTRL)
� Partie 5: Règles de sécurité pour l'EDI par lots (authentification, intégrité et non-répudiation de l'origine)
� Partie 6: Message sécurisé Authentification et accusé de réception (type de message AUTACK)
� Partie 7: Règles de sécurité pour le lot EDI (confidentialité)
� Partie 8: Données associées en EDI
� Partie 9: Message Gestion de clés et de certificats de sécurité(typedemessage KEYMAN)
� Partie 10: Règles de sécurité pour l'EDI interactif
iv © ISO 1999 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 9735-7:1999(F)
D'autres parties pourront être ajoutées ultérieurement.
L'annexe A constitue un élément normatif de la présente partie de l’ISO 9735. Les annexes B, C et D ne sont
données qu’à titre d’information.
© ISO 1999 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 9735-7:1999(F)
Introduction
La présente partie de l’ISO 9735 comprend les règles qui se situent au niveau de l'application pour la structuration
des données associées à l'échange de messages électroniques dans un environnement ouvert, fondées sur les
prescriptions du traitement ou par lots, ou interactif. Ces règles ont été adoptées par la Commission Économique
pour l'Europe des Nations Unies (CEE/ONU) comme règles de syntaxe pour l'échange de données informatisé
pour l'administration, le commerce et le transport (EDIFACT). Elles font partie du Répertoire d'Échange de
données commerciales des Nations Unies (UNTDID) qui comporte également les Directives pour la conception de
messages, tant par transmission par lots qu'en mode interactif.
La présente partie de l’ISO 9735 peut être utilisée dans toute application, mais seuls les messages qui les
prennent en compte peuvent se prévaloir d'être des messages EDIFACT s'ils respectent les autres directives,
règles et répertoires contenus dans le Répertoire d'échangededonnées commerciales des Nations Unies. Pour
être EDIFACT/ONU, les messages doivent être conformes aux règles de conception des messages destinés à une
utilisation par lots ou en mode interactif. Les règles sont maintenues dans le Répertoire d'échange des données
commerciales.
Les spécifications des communications et les protocoles n'entrent pas dans le cadre de la présentepartiede
l’ISO 9735.
La présente partie est nouvelle, elle a été ajoutée à l'ISO 9735. Elle offre la possibilité d’appliquer la confidentialité
à une structure EDIFACT, à savoir un message, paquet, groupe ou échange.
vi © ISO 1999 – Tous droits réservés
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 9735-7:1999(F)
Échange de données informatisé pour l'administration, le
commerce et le transport (EDIFACT) — Règles de syntaxe au
niveau de l'application (numéro de version de syntaxe: 4) —
Partie 7:
Règles de sécurité pour le lot EDI (confidentialité)
1 Domaine d'application
La présente partie de l'ISO 9735 est destinée à la sécurité EDIFACT par lots et traite de la sécuritésurleplandela
confidentialité aux niveaux du message/paquet, du groupe et de l’échange conformément aux mécanismes de
sécurité reconnus.
2 Conformité
La conformitéà une norme signifie que la totalité de ses prescriptions, y compris tous ses aspects, sont pris en
compte. Si tel n’est pas le cas, toute demande de conformité doit comporter une déclaration identifiant chacun des
aspects qui en fait l'objet.
Les données échangées sont en conformité si la structure et la représentation des données respectent les règles
de syntaxe définies dans la présente partie de l’ISO 9735.
Les dispositifs qui s'appuient sur la présente partie de l’ISO 9735 sont en conformité s'ils sont en mesure de créer
et/ou d'interpréter les données structurées et représentées conformément à la présente norme.
La conformitéà la présente partie doit prendre en compte la conformitéà l'ISO 9735-1, l’ISO 9735-2 et
l’ISO 9735-5.
Une fois identifiées dans la présente partie de l’ISO 9735, les dispositions définies dans les normes associées
devront faire partie intégrante des critères de conformité.
3Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence qui y est faite,
constituent des dispositions valables pour la présente partie de l'ISO 9735. Pour les références datées, les
amendements ultérieurs ou les révisions de ces publications ne s’appliquent pas. Toutefois, les parties prenantes
aux accords fondés sur la présente partie de l'ISO 9735 sont invitées à rechercher la possibilité d'appliquer les
éditions les plus récentes des documents normatifs indiqués ci-après. Pour les références non datées, la dernière
édition du document normatif en référence s’applique. Les membres de l'ISO et de la CEI possèdent le registre des
Normes internationales en vigueur.
ISO 9735-1:1998, Échange de données informatisé pour l'administration, le commerce et le transport
(EDIFACT) — Règles de syntaxe au niveau de l'application (numéro de version de syntaxe: 4) — Partie 1: Règles
de syntaxe communes à l'ensemble des parties, accompagnées des répertoires de services syntaxiques associés
à chacune d'elles.
© ISO 1999 – Tous droits réservés 1
---------------------- Page: 7 ----------------------
ISO 9735-7:1999(F)
ISO 9735-2:1998, Échange de données informatisé pour l'administration, le commerce et le transport
(EDIFACT) — Règles de syntaxe au niveau de l'application (numéro de version de syntaxe: 4) — Partie 2: Règles
de syntaxe spécifiques à l'EDI par lots.
ISO 9735-5:1999, Échange de données informatisé pour l'administration, le commerce et le transport
(EDIFACT) — Règles de syntaxe au niveau de l'application (numéro de version de syntaxe: 4) — Partie 5: Règles
de sécurité pour l'EDI par lots (authentification, intégrité et non-répudiation de l'origine).
ISO/CEI 10181-5:1996, Technologies de l’information — Interconnexion de systèmes ouverts (OSI) — Cadre de
sécurité pour les systèmes ouverts: Cadre de confidentialité.
4Définitions
Pour les besoins de la présente partie de l'ISO 9735, les définitions données dans l'ISO 9735-1:1998, annexe A,
s’appliquent.
5Règles de confidentialité pour l’EDI par lots
5.1 Confidentialité EDIFACT
Les risques pouvant menacer la transmission des données EDIFACT et les services de sécurité qui en traitent sont
décrits dans l'ISO 9735-5:1999, annexes A et B.
Cette section décrit la solution permettant d’assurer le service de sécurité appliquéà la confidentialité des
structures EDIFACT.
La confidentialité d’une structure EDIFACT (message, paquet, groupe ou échange) doit être assurée par le
chiffrement respectif du corps d’un message, d’un objet, de messages/paquets ou de messages/paquets/groupes,
ainsi que par l’utilisation de tout autre groupe de segments d’en-tête et de fin de sécurité s’appuyant sur un
algorithme cryptographique approprié. Ces données chiffrées peuvent être filtrées pour être utilisées par des
réseaux de télécommunication aux capacités limitées.
5.1.1 Confidentialité pour l’EDI par lots
5.1.1.1 Confidentialité d’un échange
La Figure 1 représente la structure d’un seul échange sécurisé par la confidentialité.La chaîne de caractères de
service (UNA), le segment d’en-tête d’échange (UNB) et le segment de fin d’échange (UNZ) ne sont pas affectés
par le chiffrement.
Si la compression est appliquée, elle doit l’être avant le chiffrement.
Le chiffrement, la compression, l’algorithme du filtre et les paramètres sont définis dans le groupe de segments
d’en-tête de sécurité.
2 © ISO 1999 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 9735-7:1999(F)
ECHANGE
Groupe(s) Groupe(s)
de segments
de segments
MESSAGE(S)/PAQUET(S) ou GROUPE(S)
UNB UNZ
UNA
d'en-tête
de fin
de sécurité
de sécurité
Compression
et
chiffrement
Groupe(s)
Groupe(s)
de segments
de segments
UNA UNB DONNEES CHIFFREES USU
USD
UNZ
d'en-tête
de fin
de sécurité de sécurité
Figure 1 — Structure d’un échange dont le contenu [message(s)/paquet(s) ou groupe(s)] a été chiffré
(schéma simplifié)
5.1.1.2 Confidentialité d’un groupe
La Figure 2 représente la structure d’un échange contenant un groupe chiffré qui a également été sécurisé pour
d’autres applications de sécurité. Le segment d’en-tête de groupe (UNG) et le segment de fin de groupe (UNE) ne
sont pas affectés par le chiffrement.
Si la compression est appliquée, elle doit l’être avant le chiffrement.
Le chiffrement, la compression, l’algorithme du filtre et les paramètres sont définis dans le groupe de segments
d’en-tête de sécurité.
© ISO 1999 – Tous droits réservés 3
---------------------- Page: 9 ----------------------
ISO 9735-7:1999(F)
ECHANGE
GROUPE GROUPE
UNA GROUPE UNZ
UNB
Groupe(s) Groupe(s)
de segments
de segments
UNEUNE
UNG MESSAGE(S)/PAQUET(S)
d'en-tête
de fin
de sécurité
de sécurité
Compression et
chiffrement
Groupe(s) Groupe(s)
de segments
de segments
USD DONNEES CHIFFREES UNE
UNG USU
d'en-tête de fin
de sécurité de sécurité
Figure 2 — Structure d’un échange contenant un seul groupe dont le contenu (corps du groupe et groupes
associés des segments d’en-tête et de fin de sécurité)a été chiffré (schéma simplifié)
5.1.1.3 Confidentialité d’un message
La Figure 3 représente la structure d’un échange contenant un seul message chiffré qui a également été sécurisé
pour une autre application de sécurité. Le segment d’en-tête de message (UNH) et le segment de fin de message
(UNT) ne sont pas affectés par le chiffrement.
Si la compression est appliquée, elle doit l’être avant le chiffrement.
Le chiffrement, la compression, l’algorithme du filtre et les paramètres sont définis dans le groupe de segments
d’en-tête de sécurité.
4 © ISO 1999 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO 9735-7:1999(F)
ECHANGE
UNA MESSAGE UNZ
UNB MESSAGE MESSAGE
Groupe(s) Groupe(s)
de segments
de segments
UNEUNT
UNH CORPS DU MESSAGE
d'en-tête
de fin
de sécurité
de sécurité
Compression et
chiffrement
Groupe(s) Groupe(s)
de segments
de segments
USD DONNEES CHIFFREES UNT
UNH USU
d'en-tête de fin
de sécurité de sécurité
Figure 3 — Structure d’un échange contenant un seul message dont le contenu (corps du message et
groupes associés des segments d’en-tête et de fin de sécurité)a été chiffré (schéma simplifié)
5.1.1.4 Confidentialité d’un paquet
La Figure 4 représente la structure d’un échange contenant un seul paquet chiffré qui a également été sécurisé
pour une autre application de sécurité. Le segment d’en-tête d’objet (UNO) et le segment de fin d’objet (UNP) ne
sont pas affectés par le chiffrement
Si la compression est appliquée, elle doit l’être avant le chiffrement.
Le chiffrement, la compression, l’algorithme du filtre et les paramètres sont définis dans le groupe de segments
d’en-tête de sécurité.
© ISO 1999 – Tous droits réservés 5
---------------------- Page: 11 ----------------------
ISO 9735-7:1999(F)
ECHANGE
UNA UNZ
UNB MESSAGE(S)
PAQUET PAQUET(S)
Groupe(s) Groupe(s)
de segments
de segments
OBJET UNEUNP
UNO
d'en-tête
de fin
de sécurité
de sécurité
Compression et
chiffrement
Groupe(s) Groupe(s)
de segments
de segments
USD DONNEES CHIFFREES UNP
UNO USU
d'en-tête de fin
de sécurité de sécurité
Figure 4 —Structure d’un échange contenant un seul paquet dont le contenu (objet et groupes associés
des segments d’en-tête et de fin de sécurité)a été chiffré (schéma simplifié)
5.1.2 Structure des segments d’en-tête et de fin de sécurité pour le chiffrement des données
ETIQUETTE Nom S R
Groupe de segments 1 C 99
USH En-tête de sécurité M 1
USA Algorithme de sécurité C 3
Groupe de segments 2 C 2
USC Certificat M 1
USA Algorithme de sécurité C 3
USR Résultat de la sécurité C 1
USD En-tête de chiffrement des données M 1
Données chiffrées
USU Fin de chiffrement des données M 1
Groupe de segments n C 99
UST Fin de sécurité M 1
USR Résultat de la sécurité C 1
Figure 5 — Table de segments des groupes de segments d’en-tête et de fin de sécurité
NOTE Les segments USH, USA, USC, USR et UST sont définis dans l’ISO 9735-5. Ils ne sont pas décrits plus loin dans la
présente partie.
6 © ISO 1999 – Tous droits réservés
---------------------- Page: 12 ----------------------
ISO 9735-7:1999(F)
5.1.3 Précisions sur les segments de données
Groupe de segments 1 : USH-USA-SG2 (groupe de segments d’en-tête de sécurité)
Groupe de segments identifiant le service et les mécanismes de sécurité qui s’appliquent et contenant les données
nécessaires à l’exécution des calculs de validation.
Il ne doit y avoir qu’un groupe de segment d’en-tête de sécurité pour la confidentialité.
USH, En-tête de sécurité
Segment définissant le service de confidentialité s’appliquant à la structure EDIFACT dans laquelle le
segment est intégré (comme défini dans l’ISO 9735-5).
USA, Algorithme de sécurité
Segment identifiant un algorithme de sécurité,l’utilisation technique qui en est faite et contenant les
paramètres techniques requis. Il doit s’agir de(s) algorithme(s) s’appliquant directement au corps d’un
message, d’un objet, de messages/paquets ou de messages/paquets/groupes. Cet (ces) algorithme(s) doit
(doivent) être symétrique(s) à celui (ceux) du propriétaire, comprimés par le propriétaireouavoir une
intégrité de compression assurée par le propriétaire.
Il ne doit pas être directement fait référence aux algorithmes asymétriques dans ce segment USA contenu
dans le groupe de segments 1 mais ils ne peuvent apparaître que dans le groupe de segments 2, déclenché
par un segment USC.
Si la compression s’applique aux données avant un chiffrement, une occurrence du segment USA est
utilisée pour indiquer l’algorithme et le mode opératoire. Des paramètres complémentaires, tels qu’un arbre
d’origine de répertoire, peuvent être définis en tant que valeur au sein de ce segment USA.
Si la compression s’applique et que l’algorithme de compression utilisé ne contient pas de vérification
intrinsèque d’intégrité,l’occurrence d’un segment USA peut être utilisée à cet effet. La valeur de vérification
de l’intégrité est calculée sur le texte comprimé avant chiffrement. La position (c’est-à-direledécalage
d’octets) de la valeur de vérification de l’intégrité au sein de données comprimées peut être indiquéeentant
que valeur de paramètre. La longueur (en octets) de la valeur de vérification de l’intégrité est indirectement
indiquée par l’algorithme de vérification de l’intégrité utilisé.
Groupe de segments 2 : USC-USA-USR (groupe du certificat)
Groupe de segments contenant les données nécessaires à la validation des méthodes de sécurité appliqués à la
structure EDIFACT lorsque des algorithmes sont utilisés(commedéfini dans l’ISO 9735-5).
USC, Certificat
Segment contenant les justificatifs d’identité du propriétaire du certificat et identifiant l’autorité de certification
qui a généré le certificat (comme défini dans l’ISO 9735-5).
© ISO 1999 – Tous droits réservés 7
---------------------- Page: 13 ----------------------
ISO 9735-7:1999(F)
USA, Algorithme de sécurité
Segment identifiant un algorithme de sécurité,l’utilisation technique qui en est faite et contenant les
paramètres techniques requis (comme défini dans l’ISO 9735-5).
USR, Résultat de la sécurité
Segment contenant le résultats des fonctions de sécurité appliquées au certificat par l’autorité de certification
(comme défini dans l’ISO 9735-5).
USD, En-tête de chiffrement de données
Ce segment précise la longueur en octets des données compressées (facultatif), chiffrées et filtrées
(facultatif). Un numéro de référence servant à identifier la structure EDIFACT peut être précisé.Siun
numéro de référence est présent, le même numéro de référence peut être utilisé dans les deux segments
USD et USU.
Si le mécanisme de remplissage est appliqué avant le chiffrement, le nombre d’octets peut être précisé.
Données chiffrées
Cette partie contient les données chiffrées qui l’ont été par l'intermédiaire des algorithmes et des
mécanismes précisés dans le groupe de segments d’en-tête de sécurité.
USU, Fin de chiffrement de données
Ce segment indique la longueur d’octets de données comprimées (facultatif), chiffrées et filtrées (facultatif).
Un numéro de référence servant à identifier la structure EDIFACT peut être précisé.Si un numéro de
référence est présent, le même numéro de référence peut être utilisé dans les deux segments USD et USU.
Groupe de segments n : UST-USR (groupe de segments de fin de sécurité)
Groupe de segments contenant un lien avec le groupe de segments d’en-tête de sécurité et le résultat des
fonctions de sécurité appliquées à la structure EDIFACT (comme précisé dans l’ISO 9735-5).
UST, Fin de sécurité
Segment établissant un lien entre le groupe de segments d’en-tête de sécurité et de fin de sécurité et
indiquant le nombre de segments de sécurité contenu dans ces groupes, plus les segments USD et USU.
USR, Résultat de la sécurité
Segment contenant le résultat des fonctions de sécurité appliquées à la structure EDIFACT comme indiqué
dans le groupe d’en-tête de sécurité subordonné (comme défini dans l’ISO 9735-5). Ce segment ne doit pas
être présent pour le service de sécurité appliquéà la confidentialité.
5.1.4 Utilisation de l’en-tête de chiffrement de données et de fin de chiffrement de données pour la
confidentialité
Une structure EDIFACT chiffréeendonnées chiffrées est enveloppée dans un en-tête de chiffrement de données
et de fin de chiffrement de données. Les données chiffrées et les groupes de segments d’en-tête et de fin de
sécurité associés remplacent le corps du message d’origine, l’objet ou le(s) message(s)/paquet(s)/groupe(s). L’en-
tête et la fin d’une structure EDIFACT chiffrée ne sont pas affectés par le chiffrement appliqué.
Les données chiffrées doivent commencer immédiatement aprèsle séparateur terminant le segment USD, qui doit
indiquer la longueur des données chiffrées en octets. Les données chiffrées sont suivies d’un segment USU qui, à
son tour, indique la longueur des données chiffrées,etquidoit êtrelemême que dans le segment USD.
8 © ISO 1999 – Tous droits réservés
---------------------- Page: 14 ----------------------
ISO 9735-7:1999(F)
5.1.5 Utilisation des groupes de segments d’en-tête et de fin de sécurité pour la confidentialité
Comme défini dans l’ISO 9735-5, un groupe de segments d’en-tête de sécurité indiquant la confidentialité et un
groupe de segments de fin de sécurité doivent être intégrés. Le groupe de segments de fin de sécurité utilisé pour
la confidentialité ne doit contenir qu’un seul segment UST.
Une fois qu’une structure EDIFACT a été chiffrée, aucun autre service de sécurité EDIFACT ne doit y être
appliqué.
5.2 Principes d’utilisation
5.2.1 Services multiples de sécurité
Si plus d’un service de sécurité est requis en même temps, à part la confidentialité, il convient de répondre à cette
demande, conformément aux règles définies dans l’ISO 9735-5, avant le chiffrement par l’intervenant qui émet la
structure EDIFACT. Le récepteur doit effectuer les vérifications associées après le chiffrement par l’intervenant
récepteur.
5.2.2 Confidentialité
La confidentialité d’une structure EDIFACT doit être assurée selon les principes définis dans l’ISO 10181-5.
Le service de confidentialité doit être indiqué dans le groupe de segments d’en-tête de sécurité et l’algorithme,
défini dans un segment USA du groupe de segments 1. Ce segment USA peut également contenir les données
nécessaires à l’établissement des relations concernant les clés entre les intervenants jouant le rôle d’initiateur et
de récepteur de la sécurité.
L’intervenant jouant le rôle d’initiateur de la sécurité doit chiffrer la structure EDIFACT, en commençant
immédiatement après la fin de segment de son segment d’en-tête (échange, groupe, message ou paquet) et finir
immédiatement avant le premier caractère de sa fin de segment (échange, groupe, message ou paquet), et
examiner le résultat en tant que données chiffrées. A la réception des données chiffrées, l’intervenant jouant le rôle
de récepteur de la sécurité doit déchiffrer les données chiffrées et récupérer ainsi la structure EDIFACT d’origine, à
l’exclusion des segments d’en-tête et de fin de sécurité.
5.2.3 Représentation interne et fonctions du filtre
Le résultat du processus de chiffrement est une chaîne binaire apparemment aléatoire. Cette constatation peut
donner lieu à des difficultésaveccertainsréseaux de télécommunication à capacité limitée. Pour éviter ce
problème, la chaîne binaire peut être mise, de façon réversible, en correspondance avec un jeu de caractères
particulier au moyen d’une fonction de filtre.
L’utilisation d’une fonction de filtre a pour conséquence d’étendre la longueur des données chiffrées. Différentes
fonctions de filtre dotées de facteurs d’expansion légèrement différents peuvent être utilisées. Certaines peuvent
permettre au texte filtré de contenir tout caractère du jeu de caractères cible, dont les caractères de service, tels
que les caractères de fin de segments, tandis que d’autres fonctions de filtre peuvent masquer ces caractères de
service.
La longueur des données véhiculées dans l’élément de données « Longueur des données en octets » contenues
dans les segments USD et USU doivent représenter la longueur des données (compressées) chiffrées (et filtrées).
Cette représentation doit être utilisée pour déterminer la fin des données chiffrées. La fonction du filtre utilisé doit
être indiquée dans l’élément de données 0505 « Fonction du filtre, en code » du segment USH dans le groupe de
segment d’en-tête de sécurité appliquéà la confidentialité.
© ISO 1999 – Tous droits réservés 9
---------------------- Page: 15 ----------------------
ISO 9735-7:1999(F)
5.2.4 Utilisation des techniques de compression avant le chiffrement
Le coût du calcul du chiffrement se rapportant directement à la longueur des données à chiffrer, il peut s’avérer
utile de compresser les données avant leur chiffrement.
La plupart des techniques de compression se trouvant inefficaces sur du texte chiffré,même filtré,alors,si la
compression est requise, elle doit être appliquée avant le chiffrement.
En conséquence, lorsque la compression est utilisée pour assurer le service de sécurité appliquéà la
confidentialité, le groupe de segments d’en-tête de sécurité peut contenir l’indication précisant que les données ont
été compressées avant leur chiffrement et permettre d'identifier l’algorithme et les paramètres facultatifs utilisés.
Dans ce cas, aprèsledéchiffrement des données chiffrées, les données doivent être décompressées avant que la
structure EDIFACT ne soit récupérée.
5.2.5 Ordre de traitement des opérations
5.2.5.1 Chiffrement et opérations associées
Lorsque le traitement d’une structure EDIFACT a pour objet d'en assurer la confidentialité, les opérations suivantes
doivent être exécutées :
1. compresser la structure EDIFACT (facultatif) et calculer la valeur de l’intégrité sur les données compressées
(facultatif)
2. chiffrer la structure EDIFACT (compressée et dont l’intégrité est protégée)
3. filtrer les données chiffrées (facultatif) (compressées et dont l’intégrité est protégée)
5.2.5.2 Déchiffrement et opérations associées
Lorsque le traitement d’une structure EDIFACT chiffrée a pour objet de récupérer une structure EDIFACT d'origine,
les opérations suivantes doivent être exécutées :
1. annuler le filtre des données chiffrées filtrées (si elles sont filtrées)
2. déchiffrer les données chi
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.