View
318
Download
5
Embed Size (px)
DESCRIPTION
Diapositive 1
Signature lectronique 3.0 Le futur est dj prsent
Petit-djeuner dbat du 29 janvier 2014
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 1
Introduction
Contexte Le dploiement
Enjeux Les nouvelles formes de signature
Dfi La conformit
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 2
PLAN
1. Etat des lieux, par Dimitri
Mouton, Socit Demaeter
2. Choisir la bonne signature si cest possible
3. Dployer sans risque sous rserve de lapprciation souveraine des tribunaux
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 3
1. Etat des lieux, Dimitri Mouton, Demaeter
1. Un beau fouillis
2. Les fondamentaux
3. Les tendances
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 4
1.1 LE FOUILLIS
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 5
PKI
Signature lectronique
Authentification
Clef prive
Clef publique
Engagement
IGC
RSA
2048 bits
RGS
Certificat
AC
Classe 3+
2 toiles
Prsomption de fiabilit
Tablette
Signature scurise Signature avance
Certificat qualifi
Convention de preuve
Code PIN
Authentification forte
SMS
Usurpation didentit
CRL
Horodatage
OCSP
X.509 V3
Autorit dEnregistrement
PSCE
PSCO
RFC 3161
COFRAC
ANSSI
Politique de Signature Electronique
PAdES
PDF /A
XAdES
PKCS#7
PKCS#12
Loi du 13 mars 2000
Dcret du 30 mars 2001
Rglement europen
CMS
Signature dtache
Applet java
Propre au signataire
Contrle exclusif
SSCD
Rvocation
SHA256
Dlgation
Parapheur
A la vole
OTP
Intgrit
Non-rpudiation
Garantie de provenance
Traabilit
Prestataire qualifi
Force probante
Alice et Bob
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 6
Mais les usages sont l
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 7
Marchs publics
Contrats B to B
Immatriculations
Dclarations sociales
Commerce en ligne
Contrats grand public en agence
Actes notaris
PV lectroniques
Attestations de conformit
Diplmes Actes - Contrle de lgalit
Dlibrations
Hlios - Comptabilit publique
Dclarations de travaux
Rseaux et canalisations
Banque en ligne
Dmarches administratives
Rseau Priv Virtuel des Avocats
Rseau Priv Virtuel de la Justice
Tribunal de Commerce lectronique
Actes authentiques
Expertise comptable Chronotachygraphe
Contrats de travail
Emargements
Feuille de soins lectronique
Factures
Dlgation de pouvoirs bancaires
Lettre recommande lectronique
Vote lectronique
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 8
Les typologies
Signature scanne
Signature manuscrite sur tablette
Signature lectronique la vole
Signature lectronique
Avec ou sans
accrditation
Avec ou sans legal opinion
Avec ou sans toiles
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 9
Les composantes dun service dmatrialis
Dont la signature lectronique
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 10
1.2 LES FONDAMENTAUX
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 11
La signature lectronique :
Dfinition pratique
La signature lectronique est une signature
Qui porte sur un document de nature lectronique.
Lencre marque le papier La cryptographie garantit un lien entre le signataire et le document
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 12
A quoi sert un certificat
Le certificat est une carte
didentit dlivre par une
Autorit de Certification
ou Prestataire de Services
de Certification
lectronique
Il peut servir :
sauthentifier (contrle daccs)
signer (signature lectronique, cachet, horodatage)
chiffrer (confidentialit)
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 13
La PKI
PKI (Public Key Infrastructure), aussi appele Infrastructure clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) :
Lensemble des moyens techniques et humains mis en uvre pour la dlivrance de certificats
Autorit de Certification (AC) : responsable de la PKI dicte les rgles (Politique de Certification) Est garante de leur respect
Autorit dEnregistrement (AE) : procde lenregistrement des porteurs
Oprateur de Certification (OC) : exploite les machines
Autorit de Rvocation, Autorit de Validation : rles complmentaires.
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 14
Le cycle de vie du certificat
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 15
Calcul technique :
Empreinte du document
Scellement par la clef prive
Ajout dlments complmentaires :
Le certificat du signataire et la chane de certification correspondante
Un jeton dhorodatage
Une preuve de validit du certificat (LCR ou OCSP)
Cinmatique de la signature
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 16
Cinmatique de la vrification
Calcul technique :
Empreinte du document
Epreinte initialement scelle
Comparaison des deux valeurs
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 17
Validit du certificat
Le document a bien t sign par le porteur du certificat
Mais qui est-ce ?
Vrifier la validit technique du certificat.
Sil est invalide ALERTE !
Examiner lmetteur du certificat :
Si je nai pas confiance en cette AC
ALERTE !
Si jai confiance en cette AC :
Comparer la date de la signature aux dates de validit du certificat
Vrifier la Liste des Certificats Rvoqus
Si tout est bon : le nom contenu dans le certificat est celui du signataire.
Mais ce signataire avait-il le droit de signer ?
Le document sign est-il correct sur la forme ? Sur le fond ?
La vrification se poursuit sur le plan juridique ! 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 18
Exemple : affichage de signature par Adobe Reader
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 19
Les formats de signatures
AdES = Advanced Electronic Signature
3 formats : PAdES = format PDF
CAdES = format CMS / PKCS#7
XAdES = format XML
Le choix est faire en fonction des contraintes du projet
Tous permettent dinclure les mmes lments :
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 20
Les niveaux de certificats
Le niveau de scurit offert par un certificat dpend :
Des procdures denregistrement
Du support du certificat (matriel / logiciel)
Des engagements de lAutorit de Certification
Les niveaux du RGS rpondent des ralits juridiques :
* Enregistrement distance
Support logiciel
Signature lectronique
simple
** Enregistrement en face face
Support matriel
Signature lectronique
scurise
*** Enregistrement en face face
Support matriel scuris
Certificat qualifi
Signature lectronique
prsume fiable
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 21
Les principes de la confiance
La confiance est un sentiment de scurit
Elle doit saccompagner de la prudence !
Chane de confiance faible : Chane de confiance forte :
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 22
1.3 LES TENDANCES
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 23
La signature lectronique autonome
Le signataire a achet son certificat auprs dune AC du march
Il dispose sur son poste dun outil de signature lectronique
Il ralise ses signatures sur son poste, de manire autonome
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 24
La signature lectronique par applet
Le signataire a achet un certificat auprs dune AC du march
Loutil de signature est inclus dans le service appel
Le signataire ralise ses signatures sur son poste, dans le cadre du service
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 25
La signature lectronique la vole
Le signataire na pas de certificat, ni doutil de signature
lectronique
Le serveur lui prsente le contrat et
il donne son accord
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 26
Le serveur vrifie lidentit du signataire en lui envoyant un
dfi par SMS
La signature lectronique la vole
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 27
La signature lectronique la vole
Le serveur gnre u
