Signature numérique

Un article de Wikipédia, l'encyclopédie libre.

La signature numérique est un mécanisme permettant d'authentifier l'auteur d'un document électronique et de garantir son intégrité, par analogie avec la signature manuscrite d'un document papier. Un mécanisme de signature numérique doit présenter les propriétés suivantes :

• Il doit permettre au lecteur d'un document d'identifier la personne ou l'organisme qui a apposé sa signature.
• Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte.

Pour cela, les conditions suivantes doivent être réunies :

• Authentique  : L'identité du signataire doit pouvoir être retrouvée de manière certaine.
• Infalsifiable : La signature ne peut pas être falsifiée. Quelqu'un d'autre ne peut se faire passer pour un autre.
• Non réutilisable: La signature n'est pas réutilisable. Elle fait partie du document signé et ne peut être déplacée sur un autre document.
• Inaltérable : Un document signé est inaltérable. Une fois qu'il est signé, on ne peut plus le modifier.
• Irrévocable : La personne qui a signé ne peut le nier.

La signature électronique n'est devenue possible qu'avec la cryptographie asymétrique.

Elle se différencie de la signature écrite par le fait qu'elle n'est pas visuelle, mais correspond à une suite de nombres.

Sommaire 1 Fonctionnement 2 Valeur légale 2.1 En France 2.2 En Belgique 3 Voir aussi 4 Lien externe

[modifier] Fonctionnement

Supposons que l'on dispose d'un algorithme de chiffrement à clé publique (consulter liste). Notons C_A, la fonction de chiffrement et D_A celle de déchiffrement. Rappelons que la fonction D_A est connue de tous, par la clé publique associée à l'algorithme, tandis que C_A n'est connue que par la propriétaire légitime de ce couple de fonctions, Alice, qui seule détient la clé privée.

Lorsque Alice souhaite signer un message M, elle calcule S = C_A(M). Toute personne disposant du message M et de la signature S peut alors vérifier qu'Alice est à l'origine de la signature en calculant D_A(S). Si cette quantité est bien égale à M, alors on peut être certain qu'Alice est l'auteur de la signature, car seule elle peut produire C_A (M), puisqu'elle est la seule à connaître C_A et que cette fonction est bijective. On peut être également sûr que le message n'a pas été altéré. En effet, pour altérer le message, il faudrait également altérer la signature de manière cohérente, ce qui n'est possible que si l'on dispose de C_A.

Pour être un peu plus précis, ce n'est jamais un message M qu'Alice signe, mais l'empreinte de M par une fonction de hachage. La sûreté de la signature dépend alors du soin apporté au choix de la fonction de hachage. Il faut, qu'étant donné un message et son empreinte, il soit très difficile de fabriquer un message ayant une empreinte (et donc une signature) égale. L'intérêt de la fonction de hachage est de permettre de signer une quantité de données beaucoup plus petite que le message entier (et de longueur fixe).

La signature numérique nécessite l'utilisation de certificats électroniques. Ceux-ci sont générées par des autorités de certification (CA), qui permettent d'identifier de façon unique la personne (ou l'entité) qui détient les clés publique et privée : ils peuvent être vus comme la carte d'identité numérique de cette personne ou entité. En plus de ce rôle, les certificats peuvent permettre de chiffrer des informations .

[modifier] Valeur légale

[modifier] En France

Depuis mars 2000, la signature numérique d'un document a en France la même valeur légale qu'une signature sur papier, conformément aux textes suivants :

• La loi n^o 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique;
• Son décret d'application n^o 2001-272 du 30 mars 2001.

Selon ce décret, un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences définies au I :

1° Soit par le Premier ministre, dans les conditions prévues par le décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information. La délivrance du certificat de conformité est rendue publique.

2° Soit par un organisme désigné à cet effet par un État membre de l'Union européenne.

[modifier] En Belgique

Le législateur belge a transposé en 2001 la Directive européenne du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques. Cette transposition en droit belge s'est faite par l'adoption de deux lois: la Loi du 20 octobre 2000 introduisant l’utilisation de moyens de télécommunication et de la signature électronique dans la procédure judiciaire et extrajudiciaire, M.B., 22 déc. 2000, p. 42698 qui modifie notamment l'article 1322 du Code civil et la Loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification, M.B., 29 septembre 2001, p. 33070. C'est cette dernière loi qui explique la question des services de certification (P.S.C), leurs rôles et responsabilités ( voy. les annexes I, II et III de la loi). Voyez à ce sujet un article intéressant: GUINOTTE L., « La signature électronique après les lois du 20 octobre 2000 et du 9 juillet 2001 », J.T., 2002, pp.556-561.

• La signature électronique fait désormais partie du droit belge et a la même valeur juridique que la signature manuscrite. Bien qu’elle ait fait couler beaucoup d’encre du côté de la doctrine, on peut considérer qu’elle fait aujourd’hui l’objet d’une réglementation claire et rationnelle. L’ère de l’Internet et de l’électronique étant arrivée au sein du domaine juridique et il était logique que la signature y trouvât sa place. L’objectif premier de la directive européenne 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques était de favoriser les échanges commerciaux au-delà des frontières, d’instaurer une certaine confiance dans ces transactions et de conférer à l’ensemble une valeur juridique équivalente à celle de la signature manuscrite. Il semble que l’on peut considérer aujourd’hui que la boucle est bouclée et que les dernières zones d’ombre qui pourraient persister seront éclaircies par une future jurisprudence( qui est, pour le moment, quasi inexistante). Cependant, à l’heure actuelle, la signature électronique est assez lente à se répandre et bien que la Commission estime que tous les objectifs de la directive aient été atteints, le marché électronique reste restreint. On peut tout de même penser que ce n’est qu’un début et qu’une foule d’applications de la signature électronique reste à venir en vue d’améliorer et d’accélérer notre quotidien.

[modifier] Voir aussi

• Signature aveugle
• Authentification
• Chiffrement
• Cryptographie asymétrique
• Key signing party
• Sécurité des données

[modifier] Lien externe

• (fr) Directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques
• (fr) Décret n°2001-272 du 30 mars 2001, pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique
• (fr) Articles de la DCSSI sur la signature électronique
• (fr) Un module d'auto-formation à la signature électronique élaboré par le centre de formation de la DCSSI
• (en) Business plan for he CEN/ISSS workshop on electronic signatures http://xml.coverpages.org/CEN-ISSS-BusinessPlan.pdf (2002-2003)

• Portail du droit
• Portail de la cryptologie
• Portail de la sécurité informatique