Aspects techniques et juridiques Aspects techniques et juridiques de la signature électronique et de de la signature électronique et de
la certification électronique la certification électronique
Mohammed Ouamrane, Idir Rassoul Mohammed Ouamrane, Idir Rassoul
DTIC@Alg’2012 DTIC@Alg’2012
16 et 17 mai 2012, CERIST, Alger, Algérie 16 et 17 mai 2012, CERIST, Alger, Algérie
Plan Plan
I. Aspects Techniques I. Aspects Techniques
I.1. Chiffrement
I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique
I.2.1 Les fonctions de hachage I.2.2 La signature électronique I.2.3 Les certificats numériques
I.2.4. Obtention d’un certificat numérique I.2.5. Contenu d'un certificat numérique
II. Aspects Juridiques II. Aspects Juridiques
II.1. Formes de signature électronique
II.2. Effets Juridiques des signatures électroniques II.3. Responsabilité
II.4. Aspects internationaux
A1. Exigences concernant les certificats qualifiés
A2. Exigences concernant les prestataires de service de certification
A3. Exigences pour les dispositifs sécurisés de création de signature électronique
I.
I.1 1..1 1. Chiffrement Symétrique : Principes . Chiffrement Symétrique : Principes
Les deux parties communicantes utilisent un algorithme symétrique et une même clé pour chiffrer et déchiffrer les données
Une clé symétrique est une séquence
binaire aléatoire dont la longueur dépend de l’algorithme
Un algorithme est une séquence de
transformations sur les données et la clé
Chiffrement Symétrique : Principes Chiffrement Symétrique : Principes
Chiffrement Internet Déchiffrement
Le texte En clair
Est le
suivant { »àçè
) »’à »è
~#{(-è
Texte brut
Clé
111000111000
Clé
111000111000
Emetteur Récepteur
Le texte En clair Est le suivant,
Texte clair
Texte chiffré
Chiffrement Symétrique : Exemples Chiffrement Symétrique : Exemples d’Algorithmes
d’Algorithmes
DES : Data Encryption Standard (IBM) 3DES
AES : Advanced Encryption Standard (Vincent Rijmen et Joan Daemen)
Blowfish, IDEA, TripleDES
…
Chiffrement Symétrique Chiffrement Symétrique Conclusion
Conclusion
chiffrement symétrique assure la confidentialité des données.
Rapide
Peu gourmand en ressources
Problème du nombre de clé (n * (n-1))/2 et
Problème de la transmission de la clé
I.1.2 Chiffrement Asymétrique : Principes I.1.2 Chiffrement Asymétrique : Principes
Chaque personne dispose d’une paire de clés :
Clé privée : connue uniquement par son propriétaire Clé publique : publiée dans des annuaires publiques
Le chiffrement se fait à l’aide d’une clé et le
déchiffrement se fait à l’aide de l’autre clé
Chiffrement Asymétrique Chiffrement Asymétrique
Chiffrement Internet Déchiffrement
Texte en
clair, { »àçè
) »’à »è
~#{(-è
Texte brut
Clé publique du récepteur
Clé privée du récepteur
Emetteur Récepteur
Texte En clair,
Texte clair
Texte chiffré
Chiffrement Asymétrique : Chiffrement Asymétrique : Exemples d’Algorithmes
Exemples d’Algorithmes
RSA (Ron Rivest, Adi Shamir et Leonard Adelman) Diffie-Hellman
Algorithmes généralement très lents (manipulation de grands nombres premiers)
Problème ? Paternité da la clé publique Solution : Certificats numériques
I.
I.2 2. La signature numérique . La signature numérique
La signature de clé publique par une
autorité de certification permet de s’assurer que la clé publique d’un user1 est bien
celle de user1. Cette signature est un
cachet assurant que c'est bel et bien la clé
de user1 et que cette dernière n'a pas été
modifiée ou échangée.
I.
I.2 2..1 1 Les fonctions de hachage à sens unique Les fonctions de hachage à sens unique
Opération qui transforme un texte d'une dimension variable en un résultat de taille
inférieure et fixe appelé condensé ou empreinte.
Une fonction de hachage à sens unique est une
fonction f (M) facile à calculer, mais telle qu’il
est extrêmement difficile de déduire M de f (M).
Fonctions de hachage : Exemples Fonctions de hachage : Exemples
MD5 : Message Digest 5.
Génère un résultat de taille 128 bits
SHA-1 : Secure Hash algorithm.
Génère un résultat de taille 160 bits
I.
I.2 2..2 2. La signature électronique . La signature électronique
Dans tout échange d’information, la fonction confidentialité et d’identification doit être
assurée.
Systèmes assurant cette fonction :
signature manuscrite numérisée, carte à puce, procédés biométriques et chiffrement de clés...
Le Chiffrement est considéré comme offrant les meilleures garanties de sécurité.
Une signature électronique se base sur la technique de chiffrement à clés publiques.
La signature électronique … La signature électronique …
La signature électronique est une « petite quantité de données chiffrée attachée ou logiquement liée à un message. »
Elle est utilisée pour garantir qu’un message est authentique et intact.
En cryptographie, la signature a la même
signification conventionnelle. Le but est de garantir qu'un message a bien été émis par celui qui prétend l'avoir émis et que le message reçu est identique à
Signature électronique : Création Signature électronique : Création
Hashage Texte clair
Empreinte
Cryptage Clé privée du signataire
Processus de Création de la Signature Électronique
Signature Électronique
Signature électronique : Vérification Signature électronique : Vérification
Déchiffrement Hashage Texte clair
=?
Empreinte recalculée
Signature Electronique
Clé publique de l’émetteur
Empreinte reçue
Si
Si (empreinte reçue = emprunte recalculée) (empreinte reçue = emprunte recalculée) alorsalors signature reçue correcte
Signature électronique et Signature Signature électronique et Signature Manuscrite
Manuscrite
Les deux signatures assurent
l’authentification du signataire ainsi que la non répudiation
Seule la signature électronique, assure
l’intégrité des données
I.
I.2 2..3 3. Certificat numérique . Certificat numérique
Association d'une identité (nom, prénom, adresse email) et d'une clé publique appartenant à la
personne, le tout signé par la clé privée d'une autorité de certification.
Autorité de certification
Organisme chargé de délivrer des certificats, leur assigner une date de validité, ainsi que de
révoquer éventuellement des certificats avant cette date en cas de compromission de la clé
Certificat numérique … Certificat numérique …
Un certificat électronique est une attestation informatique qui permet de lier de façon
certaine l'identité d'une personne physique ou morale à certaines caractéristiques de cette
personne (identité, capacités, qualifications professionnelles, etc.)
L'infrastructure d'échange de clé publique
s'appelle Infrastructure à Clé Publique ICP
(Public Key Infrastructure PKI)
Infrastructure à Clé Publique ICP Infrastructure à Clé Publique ICP
L'ICP constituée de plusieurs éléments organisés de façon hiérarchique afin de garantir un niveau élevé de sécurité : Infrastructure tripolaire:
Autorité d'enregistrement
- Vérifie l'identité/qualité des users avant que l'autorité de certification n'émette le certificat.
- l’Utilisateur s'adresse en premier lieu pour demander son certificat.
- Détermine le niveau de confiance à accorder au certificat (classes de certificats);
Autorité de certification
- Chargée d'émettre les certificats numériques.
- Autorité suprême dans le système hiérarchique de l’ICP;
Système de distribution des clés
- Centralisé via un service d'annuaire où les clés publiques sont accessibles à tous.
- Assurer l'effectivité de la révocation des certificats.
I.2.4. Fonctionnement d’un certificat numérique
Autorité de Certification
2 3
Autorité d’Enregistrement
1 4
Utilisateur A Utilisateur B
7 5
Listes de révocation
des Certificats 3
6 6
1. Demande certificat 4. Attribution de Certificat
Certificat numérique … Certificat numérique …
Contenu d'un certificat numérique
– NS, Id_algo_sign, validité, algo_chif., val_sign, nom_titulaire_clé_pub, val_clé_pub, …
Cycle de vie d'un certificat
– Accordé pour une durée limitée;
– PEUT être remis en question pour plusieurs raisons :
• Volonté du détenteur
• Volonté du prestataire de service (modif. de la
II. Aspects Juridiques II. Aspects Juridiques Exemple de la Directive Exemple de la Directive
99/93/CE du Parlement
99/93/CE du Parlement
Européen et du Conseil
Européen et du Conseil
Deux objectifs essentiels :
– la reconnaissance juridique des signatures électroniques, et
– l'établissement d'un cadre juridique pour l'activité des prestataires de services de certification.
Ce qui permet :
Créer un cadre pour l’utilisation des signatures électroniques, de façon à permettre la libre
circulation transfrontalière des produits et des
services à signature électronique, et à assurer une reconnaissance juridique fondamentale des
signatures électroniques
II.
II.1 1. Les différents types de signature . Les différents types de signature électronique
électronique
Trois formes de signature électronique :
1. Signature électronique simple: sert à identifier et à authentifier des données : Nom d’une personne, code PIN, …
2. Signature électronique avancée : satisfait aux exigences suivantes :
– être liée uniquement au signataire;
– permettre d'identifier le signataire;
– être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et
– être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit
détectable »
3. Signature électronique qualifiée
Signature électronique avancée reposant sur un
certificat qualifié et créée au moyen d’un dispositif sécurisé de création de signature électronique, et qui doit satisfaire aux exigences suivantes : (Annexes I, II et III de la directive européenne)
Le « signataire » est défini comme « toute personne qui détient un dispositif de création de signature et qui agit soit pour son propre compte, soit pour celui d’une entité ou personne physique ou morale qu’elle représente »
II.2. Effets Juridiques des signatures électroniques
La signature qualifiée :
- répond aux exigences légales d'une signature à l'égard de données
électroniques de la même manière qu'une signature manuscrite répond à ces
exigences à l'égard de données manuscrites ou imprimées sur papier, et
- est recevable comme preuve en justice.
L’efficacité juridique et la recevabilité en justice ne peuvent pas être refusées à une signature électronique au seul motif que :
- La signature se présente sous forme électronique ou
- Elle ne repose pas sur un certificat qualifié ou
- Elle ne repose pas sur un certif. qualifié délivré par un prestataire accrédité de service de certification
ou
II.3. Responsabilité
Le prestataire de service de certification est
responsable du préjudice causé à toute personne physique/morale qui se fie raisonnablement à ce certificat pour ce qui est de
– Exactitude des infos contenues dans le certif.
– Assurance que le signataire détient toutes les données afférant à la création/vérification de signature
– (voir A1,A2, et A3 )
II.4. Aspects internationaux
Tout certificat délivré à titre de certificat
qualifié par un prestataire de service de
certification établi dans un pays tiers est
reconnu équivalent sur le plan juridique
aux certificats délivrés par un prestataire
de service de certification établi dans la
communauté.
A
A11. Exigences concernant les certificats qualifiés. Exigences concernant les certificats qualifiés
Tout certificat qualifié doit comporter :
- a) Mention : certificat qualifié;
- b) Pays du prestataire de service de certification ; - c) Nom ou pseudonyme du signataire;
- d) Possibilité d'inclure, le cas échéant, une qualité spécifique du signataire, en fonction de l'usage auquel le certificat est
destiné;
- e) Données afférentes à la vérification de signature qui
correspondent aux données pour la création de signature sous le contrôle du signataire;
- f) Dates début/fin de validité ; - g) Code d'identité du certificat;
- h) Signature électronique avancée du prestataire de service;
- i) Les limites à l'utilisation du certificat, le cas échéant et
A
A22. Exigences concernant les prestataires de service de . Exigences concernant les prestataires de service de certification délivrant des certificats qualifiés
certification délivrant des certificats qualifiés
Le prestataire de service de certification doit :
- a) être fiable;
- b) Avoir un service d'annuaire rapide et sûr et d'un service de révocation sûr et immédiat
- c) Déterminer avec précision la date et l'heure d'émission/révocation d'un certificat;
- d) vérifier, par des moyens appropriés et conformes au droit national, l'identité/qualités spécifiques de la personne à laquelle un certificat qualifié est délivré;
- f) Utiliser des systèmes/produits fiables protégés contre les modifications. Assurant la sécurité
- g) Prendre des mesures contre la contrefaçon des certificats et, garantir la confidentialité;
- h) Disposer des ressources financières suffisantes pour endosser la responsabilité de dommages, (assurance appropriée);
- i) Enregistrer les informations concernant un certificat qualifié pour fournir une preuve de la certification en justice;
- j) Ne pas stocker ni copier les données afférentes à la création de signature de la personne à laquelle le
- k) Informer un demandeur de certificat des modalités et conditions et des procédures de réclamation et de
règlement de litiges avant d'établir une relation contractuelle avec lui;
- l) Utiliser des systèmes fiables pour stocker les certificats sous une forme vérifiable de sorte que:
- Seules les personnes autorisées puissent introduire et modifier des données,
- l'information puisse être contrôlée quant à son authenticité,
- les certificats ne soient disponibles au public pour des recherches que dans les cas où le titulaire du certificat a donné son consentement et
- toute modification technique mettant en péril ces
A
A33. Exigences pour les dispositifs sécurisés de création de . Exigences pour les dispositifs sécurisés de création de signature
signature
1. Les dispositifs sécurisés de création de signature doivent au moins garantir, par les moyens techniques et procédures appropriés, que:
– les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu'une seule fois et que leur confidentialité soit raisonnablement assurée;
– l'on puisse avoir l'assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques
actuellement disponibles;
– les données utilisées pour la création de la signature
puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par d'autres.
2. Les dispositifs sécurisés de création de signature ne doivent pas
Conclusion Conclusion
Le chiffrement à clé publique permet d’assurer l’intégrité des messages. L'exécution de la fonction signature sur les clés privées, des fonctions de hachage sur les documents ainsi que la création de certificats, véritable association certifiée entre identité réelle et clé publique, ont permis de créer une véritable identité numérique fiable.
La directive européenne 99/93/CE a introduit la sécurité juridique quant à la recevabilité générale des signatures électroniques : le besoin d’une reconnaissance juridique des signatures électroniques a été satisfait par la
transposition de la directive dans les ordres juridiques nationaux des états membres.
Merci de
votre attention
Mohammed Ouamrane, ouamrane@live.com Mohammed Ouamrane, ouamrane@live.com Laboratoire de Recherche en Informatique LARI Laboratoire de Recherche en Informatique LARI
Département d’Informatique Département d’Informatique Université Mouloud Mammeri de Tizi
Université Mouloud Mammeri de Tizi--OuzouOuzou