Salut Yves,
Merci pour tes infos. Pour la partie signature avec un certificat, c'est
un cas que je vais devoir regarder ensuite.
Si je prends le cas le plus simple de la signature, sans certificat,
j'ai encore du mal à voir ce que la signature garantit réellement ou
non. Notamment la différence entre identification (qui je suis) et
authentification (je prouve que je suis cette personne).
Par exemple, si l'expéditeur diffuse sur un site web un fichier à
télécharger et que ce fichier est signé :
Cas 1 : le destinataire télécharge le fichier et a reçu en main propre
la clé publique de l'expéditeur ou l'a téléchargée sur une plateforme
PKI (serveur de clé publique, réseau de confiance ou autre...) :
- le destinataire peut vérifier l'intégrité du fichier de façon sûre.
- la signature permet d'_identifier_ l'expéditeur ou/et le signataire ou
aucun des deux ?
- la signature permet d'_authentifier_ l'expéditeur ou/et le signataire
ou le document ou rien du tout ?
Cas 2) Le destinataire télécharge le fichier et la signature publique
sur le site web. La transmission a pu éventuellement subir une attaque
MITM ou le site web a pu éventuellement être piraté, mais on n'en sait
rien :
- le destinataire n'a aucun moyen de vérifier que la clé publique qu'il
utilise est bien celle de l'expéditeur et ne peut donc pas vérifier
l'intégrité du fichier de façon sûre.
- la signature permet d'_identifier_ l'expéditeur ou/et le signataire ou
aucun des deux ?
- la signature permet d'_authentifier_ l'expéditeur ou/et le signataire
ou le document ou rien du tout ?
Le 08/06/2021 à 23:50, Yves Agostini a écrit :
Hello David
il existe en réalité plusieurs niveaux de signature électronique.
Le niveau maximal, qui permet de signer les contrats, nécessite un certificat
RGS**
Il est impérativement distribué par une autorité qualifiée en Europe.
La procédure, et toute l'infrastructure, de gestion des certificats est
régulièrement auditée. Le certificat ne se trouve que sur un token physique. Il
est distribué en présentiel avec vérification par un notaire ou une personne
habilitée à vérifier les documents d'identification. C'est de l'ordre de 150€
par an. Il y a alors identification et authentification.
De plus la signature de contrat nécessite un horodatage qualifié. Ici aussi
l’infrastructure est régulièrement auditée. C'est également un service payant.
Elle est alors non répudiable.
Dans un autre niveau, on n'obtient effectivement que un document authentifié.
Cela peut être suffisant pour certains type de documents. La confirmation par
sms est parfois utilisée comme niveau intermédiaire acceptable dans certains
type d'engagements.
Enfin, au niveau le plus bas il n'est même pas forcément nécessaire de signer
depuis que toute trace numérique est recevable en justice,
Dans la pratique de l'usage de signature électronique, il faut également
prendre en compte le stockage à long terme des copies numériques signées (et
non pas des scan des impressions de ces documents). Ainsi que la vérification
régulière des signatures. L'autorité de certification peut enregistrer des
révocations, être racheté, changer d’infrastructure ...
Il faut alors voir avec un service juridique quel document nécessite quel
niveau de signature et quelle durée de conservation et validité.
PS: La signature la plus courante que l'on trouve facilement dans Acrobat
Reader ne vaut pas grand chose : c'est en réalité une signature de la société
Adobe où tous les signataires sont identifiés par seulement la société Adobe.
Le document est ensuite verrouillé et ne peux pas être contresigné. D'autres
sociétés propose ce type de service où ils centralisent les authentifications
et proposent le stockage. Cela ne permet pas de signer des contrats et il faut
avoir un compte de signature sur chaque plateforme :-/
----- Le 8 Juin 21, à 21:38, David VANTYGHEM [email protected] a
écrit :
Bonsoir,
Je pédale un peu. Petites questions pour les spécialistes du chiffrement :
- La signature numérique permet d’ identifier ou/et d' authentifier l e
signataire du document ? (je pencherais juste pour authentifier puisque la
signature peut être anonymisée).
- La signature numérique ne permet ni d’ identifier ni d'authentifier l'
expéditeur du document numérique puisqu'il peut envoyer un document signé avec
la clé privée de quelqu'un d'autre ?
L e signataire ne peut nier avoir signé le document ( non-répudiation ) mais il
peut nier l'avoir expédié ?
--
Passez à Linux : [ https://infolib.re/ | https://infolib.re ] .--.
|o_o |
||_/ |
// \\ Envoyé depuis mon Linux
(| |)
/ \_ _/ \
\___)=(___/
_______________________________________________
libre mailing list
[email protected]
https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre
--
Passez à Linux : https://infolib.re
.--.
|o_o |
||_/ |
// \\ Envoyé depuis mon Linux
(| |)
/ \_ _/ \
\___)=(___/
_______________________________________________
libre mailing list
[email protected]
https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre
