Le blog d’AdmiNet

Accueil > Billets > Relecture des signatures électroniques à travers le temps

Relecture des signatures électroniques à travers le temps

vendredi 24 mars 2006, par Gilles Saulière

Admettons que la conservation de la signature électronique d’un document dans le temps soit assurée. Cette signature électronique pourra-t-elle, au fil du temps, être relue, re-vérifiée par rapport au document. Voici l’objet de cette note d’aujourd’hui.

Sa validité pourra-t-elle être contrôlée, techniquement d’une part, afin de s’assurer du respect de l’intégrité du document signé, de découvrir la date mentionnée de la signature, et par rapport au certificat utilisé d’autre part, pour en afficher et vérifier cette fois les informations relatives au signataire, nom, prénom, ainsi que qualité ou fonction, dénomination de la société si c’est un certificat société.

Pour vérifier la validité et l’authenticité du certificat au moment de la signature, il convient alors de vérifier 3 choses.

1. La première, que le certificat n’était pas périmé à la date mentionnée de la signature, il suffit pour cela de contrôler par rapport à la date de fin de validité du certificat, indiquée dans le certificat lui-même.

2. Il faut ensuite vérifier que le certificat, bien que valide au regard de la période validité, n’a pas été révoqué, pour en interrompre la validité avant la date originellement prévue. Il faut alors récupérer la liste de révocation de l’autorité de certification, et rechercher si le certificat n’avait donc pas été révoqué avant la date de signature.

3. Il faut enfin s’assurer de l’authenticité du certificat lui-même, autrement dit, vérifier que ce superbe certificat CertiNomis (par exemple...) que l’on vous présente ... est bien un certificat émis par CertiNomis et non une vulgaire contrefaçon. Pour ce faire, il convient de vérifier la signature du certificat lui-même comme émanant bien de CertiNomis, et ceci, à l’aide du certificat-racine de CertiNomis, qui doit être conservé et accessible sur son site.

Il convient de remarquer deux choses à ce stade :

1. L’accès dans le temps aux listes de révocation (LCR) et aux certificats racines des Autorités de Certification appartient au domaine classique de la problématique de conservation des informations dans le temps et à leur accès ;

2. Cette conservation des LCR et des certificats racine et leur acccès dans le temps doivent être assurés par les autorités de certification qui les ont émis. En marge de cet exposé, nous noterons qu’il est facile d’en déduire alors que le choix de l’autorité de certification est important, et que faire le choix d’une autorité dont la pérennité ne serait pas flagrante serait suicidaire, du moins pour ses propres signatures.


Deux observations s’imposent quant à la faculté de procéder au contrôle d’une signature électronique à travers le temps :

Simplicité de l’application de signature électronique

Créer une signature électronique de document requiert un logiciel ou une application de signature sécurisée : les différents processus à mettre en oeuvre sont très précis et leur enchaînement ne doit pas pouvoir être contourné. Cependant :

• une application de signature électronique reste très simple dans ses fonctionnalités ; elle comprend peu de code, à l’inverse des applicatifs de gestion des entreprises ou des logiciels de type bureautique ;

• de par la simplicité et la réduction du domaine d’application qu’elle couvre, une application de signature électronique dépend peu de l’environnement sur lequel elle est installée, elle ne sera pas sujette à évolution à chaque modification de version des systèmes d’exploitation utilisés.
Une application de signature électronique est donc petite, simple à installer, moins sujette que d’autres applications à l’évolution —> il sera donc plus simple d’en conserver les évolutions.

La création d’une signature électronique

Une signature électronique de document est créée selon un processus décrit par des normes et des standards internationaux utilisant pour cela des algorithmes et des formats explicites. Pour illustrer ce formalisme, trois exemples suivent :

• pour le calcul de l’empreinte (ou condensa) est utilisé algorithme SHA 1, disponible dans les publications officielles du W3C

• pour le format de signature sont utilisés les standards RSA PKCS#7, ETSI TS 101 733 (XAdES) et W3C XML-DSIG
• pour le certificat : Norme AFNOR X509 V3, cité par exemple dans le document Politique de certification pour les AC

Si l’on part du principe que les organismes, sociétés, administrations, en charge de faire vivre les normes et standards accomplissent leur tâche avec sérieux et diligence, à tout moment, au fil du temps, il sera donc possible, à partir des descriptions de normes et standard, de reconstituer à partir de zéro une application de signature et surtout, de vérification de signature électronique.

Il s’agit là d’une garantie très forte de la conservation de la lisibilité et de la vérifiabilité d’une signature électronique de document à travers les temps. En effet, ces standards et normes étant écrits, ils sont figés, passifs, donc stables. Ils peuvent être conservés dans cet état de stabilité absolue à travers les époques (y-compris sur format papier !), permettant ainsi à tout moment de reconstituer à partir de ces "plans" l’application de l’époque, afin de vérifier une signature.

Gilles Saulière


Voir en ligne : ApoKlipsTIC