Temesis Pôle d'expertise au service des professionnels du Web

L'accompagnement qualité Web et accessibilité.

Accueil > Ressources > Articles > La signature électronique : série d’articles d’Anabelle Matigot > Observations générales sur les signatures éléctroniques

La signature électronique : série d’articles d’Anabelle Matigot

Observations générales sur les signatures éléctroniques

Auteur(s) : Anabelle Matigot

Publié le : 29 novembre 2007

Résumé :

La Loi sur la sécurité quotidienne (LSQ) autorise, depuis le 1er novembre 2001, la justice à lire des documents cryptés.
Cette loi reprend certaines des dispositions du projet de loi sur la société de l’information : elles concernent la durée de conservation des données de connexion ainsi que la mise à disposition des techniques de cryptologie.
Ce texte a, théoriquement du moins, une portée limitée dans le temps. Certains points ainsi votés devraient être appliqués seulement jusqu’au 31 décembre 2003, si le Parlement ne revient pas sur le texte entre temps.
Cette actualité législative est une bonne occasion pour s’interroger sur le devenir de la signature électronique, qui utilise les bases de la cryptologie. Depuis l’entrée en vigueur de la loi et du décret qui y sont consacrés, les textes complémentaires se font attendre pour que ce procédé soit totalement opérationnel en France.
Le système est complexe en termes de technicité et le vocabulaire est spécifique ; pourtant si la signature électronique n’est pas totalement opérationnelle aujourd’hui, il est indéniable qu’elle sera très utilisée dans les années à venir et qu’elle concernera tout le monde : les entreprises, les administrations, mais aussi les particuliers. Raison de plus pour essayer de comprendre maintenant comment ça marche...

 Introduction

Le but unique de cet article est d’informer sur l’aspect technique d’un phénomène complexe et qui fait l’objet de peu d’explication grand public.

Qu’est-ce que la signature électronique ? Comment ça fonctionne exactement ?

Après avoir fait une description des procédés nécessaires à la création et à l’utilisation d’une signature numérique, nous verrons quelle infrastructure est utilisée en France pour son encadrement. Nous évoquerons ensuite le rôle des prestataires de signature électronique.

 Les fonctions de la signature

Traditionnellement, la signature remplit plusieurs fonctions :

Elle permet aussi de conserver certaines preuves : ex : preuve qu’une personne était dans un certain lieu, à un moment donné(lieu et moment de la signature).

 Quels sont les équivalents actuels à la signature manuscrite ?

Le terme "signatures électroniques" regroupe plusieurs techniques :

Ce sont surtout les premières qui nous intéressent.

 Cryptographie

Les signatures numériques sont créées et vérifiées grâce à la cryptographie.

La cryptographie est une branche des mathématiques appliquées qui s’occupe de la transformation de messages en des formes apparemment inintelligibles et de leur restitution dans leur forme initiale.

 Clés publiques et clés privées

Les signatures numériques utilisent ce que l’on appelle la cryptographie à clés publiques, souvent basée sur l’utilisation de fonctions algorithmiques pour créer deux "clés".

Ces clés sont des nombres de plusieurs chiffres générés à l’aide d’une série de formules mathématiques appliquées aux nombres premiers.

Les deux "clés" générées par cette méthode sont différentes mais mathématiquement liées entre elles.

L’une d’elles est utilisée pour créer une signature numérique ou pour transformer des données en une forme inintelligible, l’autre est utilisée pour vérifier une signature numérique ou restituer le message en sa forme initiale.

Les clés complémentaires utilisées pour les signatures électroniques sont appelées clé privée et clé publique.

La clé privée est utilisée par le signataire pour créer la signature numérique, la clé publique, quant à elle, est utilisée par une partie qui souhaite vérifier la signature numérique émise.

Il appartient à l’utilisateur de la clé privée de la conserver secrète : il n’a d’ailleurs pas besoin de la connaître, dans la mesure où cette clé peut être :

La clé publique, quant à elle, doit être rendue accessible ou distribuée à l’ensemble des personnes qui recevront un document signé électroniquement par le titulaire de la clé privée. Pour cela, on peut publier la clé publique dans un répertoire en facilement accessible.

Bien que les paires de clés soient mathématiquement liées, si le système de cryptographie est sécurisé, il est impossible en connaissant la clé publique de déduire la clé privée.

En effet, le système repose sur une des caractéristiques des nombres premiers : une fois multipliés ensemble pour produire un nouveau nombre ; il est particulièrement difficile et long de déterminer les deux nombres premiers qui ont créé ce nouveau nombre plus élevé.

On peut utiliser d’autres techniques que les algorithmes : est actuellement en cours de mise au point un système de cryptographie qui utilisent les courbes elliptiques.

 Le hachage ou abrégé

L’autre processus fondamental mis en oeuvre pour créer et vérifier une signature numérique est le "hachage".

C’est une fonction mathématique fondée sur une représentation numérique et comprimée du message.

Cette représentation est appelée "abrégé" ou "empreinte digitale", qui prend la forme d’une valeur ou d’un résultat de hachage (série de chiffres).

Le résultat ou valeur ainsi obtenu(e) est unique au message initial : toute modification apportée au message produit inévitablement un résultat de hachage différent, ce qui permet de savoir si le message a subi des modifications.

Tout comme la cryptologie, lorsque le système de hachage est sécurisé, il est impossible de déduire le contenu du message, à partir de la valeur ou du résultat de hachage.

 La création de la signature numérique

Pour signer un document, le signataire délimite précisément ce qu’il doit signer : il rédige son message. Puis, il hache ce message, grâce à un programme, et obtient ainsi un résultat de hachage propre au message par lui rédigé.

Puis, il transforme ce résultat de hachage avec sa clé privée, obtenant alors la signature numérique du message. Par conséquent, la signature numérique obtenue est propre à la fois à l’information signée et à la clé privée utilisée.

Elle est ensuite transmise avec le message.

Une signature numérique est donc un résultat de hachage signé numériquement.

 La vérification de la signature numérique

Cela consiste à vérifier la signature numérique par rapport au message initial et à une clé publique.

Concrètement, celui qui réceptionne le message va calculer un nouveau résultat de hachage (en utilisant le même programme que l’émetteur du message), et en l’associant à la clé publique, il vérifie si la signature numérique a été créée avec la clé privée correspondante : il faut que les résultats de hachage soient identiques.

La vérification permet d’être assuré que la signature numérique a effectivement été créée par le détenteur de la clé et que le message correspondant n’a pas été modifié depuis l’apposition de la signature électronique.

 L’intervention des prestataires de certification

Quel rôle jouent les prestataires de certification ?

Pour vérifier une signature numérique, le "vérificateur" doit avoir accès à la clé publique du signataire et s’assurer que cette clé publique correspond bien à la clé privée de ce dernier.

Toutefois, une paire de clés n’a aucune association avec une personne quelconque.

Un mécanisme supplémentaire est donc nécessaire pour associer de manière fiable une personne ou une entité à une paire de clés.

Quelles sont les solutions ?

Un signataire pourrait faire une déclaration publique indiquant que les signatures vérifiables au moyen de telle clé publique devront être considérées comme provenant de lui.

Mais se posent alors des problèmes de confiance des personnes qui reçoivent la signature (risques de dénégation ou répudiation), dans un système ouvert (ex :Internet).

D’où l’idée de recourir à des tiers de confiance dont la mission est d’assurer l’association d’un signataire identifié à une clé publique spécifique.

Ce tiers de confiance est appelé indifféremment autorité de certification, prestataire de services de certification. Ce qui ne manquera évidemment pas de causer certains problèmes de confusion, au niveau du vocabulaire, avec la certification de produits, de services ou encore de management de la qualité. Qui assurera une telle information ?

Dans certains pays comme la France, ces autorités de certification s’organisent de façon hiérarchique en ce qu’on appelle souvent une infrastructure à clé publique.

Temesis - SAS au capital de 1000€ - 91 avenue de la République - 75011 Paris - France - +33 (0)1 70 95 70 70