La signature de fichier est une simple empreinte : un hash La comparaison des empreintes permet de s'assurer de l'intégrité du document.
Si l'algorithme d'empreinte est suffisamment robuste : il n'y pas de collision et si le format des données ne permet pas de manipuler l'information en conservant l'empreinte. C'était le cas de RTF (avec md5, de mémoire). Pour garantir la non modification de cette empreinte il faut la signer cryptographiquement. La clé publique permet de vérifier l'intégrité de l'empreinte et d'authentifier le distributeur de cette empreinte. Il faut ensuite s'assurer de la qualité de cette clé publique. L'identification dépend alors des procédures de gestion des clés publiques/privées. Il peut s'agir de systèmes distribués comme PGP : la confiance dans l'identité dépend des cercles de validation, ou de systèmes hiérarchiques comme X509 ----- Le 9 Juin 21, à 9:54, david vantyghem [email protected] a écrit : > Salut Yves, > > Merci pour tes infos. Pour la partie signature avec un certificat, c'est > un cas que je vais devoir regarder ensuite. > > Si je prends le cas le plus simple de la signature, sans certificat, > j'ai encore du mal à voir ce que la signature garantit réellement ou > non. Notamment la différence entre identification (qui je suis) et > authentification (je prouve que je suis cette personne). > > Par exemple, si l'expéditeur diffuse sur un site web un fichier à > télécharger et que ce fichier est signé : > > Cas 1 : le destinataire télécharge le fichier et a reçu en main propre > la clé publique de l'expéditeur ou l'a téléchargée sur une plateforme > PKI (serveur de clé publique, réseau de confiance ou autre...) : > > - le destinataire peut vérifier l'intégrité du fichier de façon sûre. > > - la signature permet d'_identifier_ l'expéditeur ou/et le signataire ou > aucun des deux ? > > - la signature permet d'_authentifier_ l'expéditeur ou/et le signataire > ou le document ou rien du tout ? > > > Cas 2) Le destinataire télécharge le fichier et la signature publique > sur le site web. La transmission a pu éventuellement subir une attaque > MITM ou le site web a pu éventuellement être piraté, mais on n'en sait > rien : > > - le destinataire n'a aucun moyen de vérifier que la clé publique qu'il > utilise est bien celle de l'expéditeur et ne peut donc pas vérifier > l'intégrité du fichier de façon sûre. > > - la signature permet d'_identifier_ l'expéditeur ou/et le signataire ou > aucun des deux ? > > - la signature permet d'_authentifier_ l'expéditeur ou/et le signataire > ou le document ou rien du tout ? > > > Le 08/06/2021 à 23:50, Yves Agostini a écrit : >> Hello David >> >> il existe en réalité plusieurs niveaux de signature électronique. >> >> Le niveau maximal, qui permet de signer les contrats, nécessite un certificat >> RGS** >> Il est impérativement distribué par une autorité qualifiée en Europe. >> La procédure, et toute l'infrastructure, de gestion des certificats est >> régulièrement auditée. Le certificat ne se trouve que sur un token physique. >> Il >> est distribué en présentiel avec vérification par un notaire ou une personne >> habilitée à vérifier les documents d'identification. C'est de l'ordre de 150€ >> par an. Il y a alors identification et authentification. >> De plus la signature de contrat nécessite un horodatage qualifié. Ici aussi >> l’infrastructure est régulièrement auditée. C'est également un service >> payant. >> Elle est alors non répudiable. >> >> Dans un autre niveau, on n'obtient effectivement que un document authentifié. >> Cela peut être suffisant pour certains type de documents. La confirmation par >> sms est parfois utilisée comme niveau intermédiaire acceptable dans certains >> type d'engagements. >> >> Enfin, au niveau le plus bas il n'est même pas forcément nécessaire de signer >> depuis que toute trace numérique est recevable en justice, >> >> >> Dans la pratique de l'usage de signature électronique, il faut également >> prendre >> en compte le stockage à long terme des copies numériques signées (et non pas >> des scan des impressions de ces documents). Ainsi que la vérification >> régulière >> des signatures. L'autorité de certification peut enregistrer des révocations, >> être racheté, changer d’infrastructure ... >> >> Il faut alors voir avec un service juridique quel document nécessite quel >> niveau >> de signature et quelle durée de conservation et validité. >> >> >> PS: La signature la plus courante que l'on trouve facilement dans Acrobat >> Reader >> ne vaut pas grand chose : c'est en réalité une signature de la société Adobe >> où >> tous les signataires sont identifiés par seulement la société Adobe. Le >> document est ensuite verrouillé et ne peux pas être contresigné. D'autres >> sociétés propose ce type de service où ils centralisent les authentifications >> et proposent le stockage. Cela ne permet pas de signer des contrats et il >> faut >> avoir un compte de signature sur chaque plateforme :-/ >> >> >> ----- Le 8 Juin 21, à 21:38, David VANTYGHEM [email protected] a >> écrit >> : >> >>> Bonsoir, >>> >>> Je pédale un peu. Petites questions pour les spécialistes du chiffrement : >>> >>> >>> >>> >>> >>> - La signature numérique permet d’ identifier ou/et d' authentifier l e >>> signataire du document ? (je pencherais juste pour authentifier puisque la >>> signature peut être anonymisée). >>> >>> >>> - La signature numérique ne permet ni d’ identifier ni d'authentifier l' >>> expéditeur du document numérique puisqu'il peut envoyer un document signé >>> avec >>> la clé privée de quelqu'un d'autre ? >>> >>> >>> L e signataire ne peut nier avoir signé le document ( non-répudiation ) >>> mais il >>> peut nier l'avoir expédié ? >>> >>> >>> -- >>> Passez à Linux : [ https://infolib.re/ | https://infolib.re ] .--. >>> |o_o | >>> ||_/ | >>> // \\ Envoyé depuis mon Linux >>> (| |) >>> / \_ _/ \ >>> \___)=(___/ >>> >>> _______________________________________________ >>> libre mailing list >>> [email protected] >>> https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre > > -- > Passez à Linux : https://infolib.re > > .--. > |o_o | > ||_/ | > // \\ Envoyé depuis mon Linux > (| |) > / \_ _/ \ > \___)=(___/
_______________________________________________ libre mailing list [email protected] https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre
