Podpis cyfrowy jest mechanizmem, dzięki czemu możliwe jest zagwarantowanie integralności dokumentu elektronicznego oraz do uwierzytelnienia jego autora, przez analogię z odręcznym podpisem dokumentu papierowego.
Różni się od podpisu pisemnego tym, że nie jest wizualny, ale odpowiada ciągowi znaków. Nie należy go mylić z odręcznym podpisem elektronicznym .
Mechanizm podpisu cyfrowego musi mieć następujące właściwości:
W tym celu muszą być spełnione następujące warunki :
W praktyce większość istniejących procedur podpisu cyfrowego opiera się na kryptografii asymetrycznej , w dalszej części artykułu zajmiemy się tym najczęściej występującym przypadkiem. Przykłady wymiany danych ilustrują postacie Alice i Bob .
Przypuśćmy, że Alicja chce wysłać Bobowi wiadomość, którą może zweryfikować.
Wiadomość, którą Alicja chce wysłać, jest plikiem binarnym M dowolnego rodzaju (tekst, obraz, plik wykonywalny itp.), Który można porównać do pliku tekstowego .
Oto opis klasycznej asymetrycznej metody podpisu szyfrowania.
Alicja wybiera:
Dla wybranego szyfrowania Alicja wygenerowała klucz prywatny K pr i klucz publiczny K pb :
D , H i K pb nie muszą być tajemnicą. C musi jednak pozostać tajemnicą.
Alicja przygotowuje podpisaną wiadomość, w tym celu:
Alicja przesyła podpisaną M , podpisaną wiadomość, do Boba przez niezabezpieczony kanał.
Bob otrzymuje podpisaną wiadomość. Aby zweryfikować autentyczność wiadomości:
W przypadku, gdy podpis jest autentyczny, D Sm i H ( M ) są równe, ponieważ zgodnie z właściwościami szyfrowania asymetrycznego: D Sm = D ( K pb , S M ) = D ( K pb , C ( K pr , H ( M ))) = H ( M ).
Wiadomość jest następnie uwierzytelniana.
Załóżmy, że przeciwnik o imieniu Mallory chce wysłać złośliwą wiadomość M ' do Boba podszywającego się pod Alicję.
Mallory zna elementy D , H i K pb, które nie są tajemnicą.
Aby Bob dał się oszukać i uwierzytelnił wiadomość jako pochodzącą od Alicji, Mallory musi być w stanie wygenerować z tych elementów sfałszowany podpis S M ', który jest taki, że: D ( K pb , S M' ) = H ( M ' ).
Zadaniem, które musi wykonać Mallory, jest zatem odwrócenie funkcji deszyfrującej D dla klucza publicznego K pb , tj. Znalezienie C , bez znajomości klucza prywatnego K pr .
Szyfry asymetryczne są precyzyjnie zaprojektowane i dobrane tak, aby operacja ta była matematycznie trudna (jeśli nie niemożliwa).
Z teoretycznego punktu widzenia siła urządzenia szyfrującego będzie zależeć od siły wybranego szyfrowania asymetrycznego i wielkości wybranych kluczy. Zaimplementowane standardy są ogólnie uważane za matematycznie bezpieczne.
Z praktycznego punktu widzenia:
Historycznie rzecz biorąc, pierwsze podpisy były indywidualne. Wprowadzono:
Istnieją warianty, takie jak K wśród N , gdzie podpis jest uważany za ważny, jeśli K członków grupy spośród N zdefiniowanych zostało podpisanych. System ten znajdzie zastosowanie np. Wtedy, gdy do uruchomienia urządzenia o wadze przekraczającej prerogatywy każdej z nich konieczne będzie zezwolenie na kilka usług. Miałoby to miejsce na przykład w przypadku procedury podsłuchowej wymagającej zgody zarówno uprawnionego organu władzy wykonawczej, jak i uprawnionego organu ustawodawczego. Wykorzystywanie informacji państwowych do celów osobistych jest zatem zabronione, ponieważ odblokowanie wymaga zewnętrznej koordynacji, która w związku z tym sama zostanie prześledzona.
Prawodawstwo europejskie określa warunki interoperacyjności technicznej i prawnej podpisów cyfrowych w Unii. Podpis cyfrowy jest oficjalnie uznawany w Europie od stycznia 2000 r. (Dyrektywa 1999/93 / WE), ale od tamtej pory tak jest1 st lipiec 2016, data wejścia w życie rozporządzenia eIDAS (identyfikacja elektroniczna i usługi zaufania), że jego minimalna wartość prawna jest taka sama w całej Unii Europejskiej (i kilku krajach partnerskich: Liechtensteinie, Norwegii i Islandii). Przepis ten określa w szczególności, że kwalifikowany podpis elektroniczny ma taki sam status i takie same skutki prawne jak jego odręczny odpowiednik.
Trzy poziomy podpisu są rozpoznawane, proste, zaawansowane i kwalifikowane. Rozporządzenie określa w istocie:
Rozporządzenie eIDAS w podobny sposób definiuje pojęcie pieczęci elektronicznej , która może być również zaawansowana lub nawet kwalifikowana. Pod względem technicznym identyczny z podpisem elektronicznym pieczęć elektroniczna różni się od niego certyfikatem identyfikującym osobę prawną (zazwyczaj organizację), a nie osobę fizyczną.
W tym samym kontekście pojęcie elektronicznego znacznika czasu jest również definiowane jako zbiór danych elektronicznych, które w połączeniu z innymi stanowią dowód na istnienie sekund w określonym momencie. Ten elektroniczny znacznik czasu może mieć poziom kwalifikowany.
W zakresie interoperacyjności prawnej rozporządzenie eIDAS określa w szczególności następujące elementy:
Aby każdy mógł sprawdzić, czy podpis elektroniczny, pieczęć elektroniczna lub elektroniczny znacznik czasu są kwalifikowane , każdy kraj członkowski musi udostępnić listę zaufanych organów ( urzędów certyfikacji, urzędów certyfikacji czasu ), która wymienia przynajmniej wszystkie kwalifikowane organy. . Włączenie niewykwalifikowanych zaufanych organów jest opcjonalne. Komisja Europejska publikuje wykaz tych krajowych zaufanych list, a także jako narzędzie do przeglądania, przeglądanie i sondowanie ich treść.
Oprócz interoperacyjności prawnej rozporządzenie eIDAS i jego decyzje wykonawcze określają również elementy interoperacyjności technicznej, takie jak zaawansowane formaty podpisu elektronicznego, które muszą być uznawane przez usługi publiczne. Te formaty są oparte na standardach technicznych ETSI .
Od 1 st lipiec 2.013, elektroniczna wersja Dziennika Urzędowego Unii Europejskiej ma moc prawną. To wydanie elektroniczne jest publikowane jako zbiór dokumentów w formacie PDF odpowiadających wszystkim wersjom językowym o tym samym numerze, do którego dołączany jest dokument XML zapewniający integralność całości. Ten dokument XML, który zawiera hash każdego dokumentu PDF będącego członkiem tej kolekcji, jest podpisany przez upoważnioną osobę Urzędu Publikacji Unii Europejskiej za pomocą kwalifikowanego podpisu elektronicznego z datą i godziną, zgodnie z XAdES format techniczny .
Od 2000 r. Elektroniczny podpis dokumentu ma we Francji taką samą wartość prawną jak podpis odręczny, zgodnie z następującymi tekstami:
Zgodnie z tym dekretem bezpieczne urządzenie służące do składania podpisu elektronicznego musi być poświadczone zgodnie z wymaganiami określonymi powyżej:
Jednak pełna transpozycja dyrektywy europejskiej 1999/93 / WE wymagała dłuższego procesu.
Natomiast od 2010 r. Pojęcie podpisu cyfrowego, definiowane jako przechowywanie w postaci cyfrowej podpisu odręcznego składanego za pomocą ekranu dotykowego, zostało wprowadzone do prawa francuskiego artykułem R 249-11 francuskiego kodeksu postępowania karnego. .
Ogólne odniesienie bezpieczeństwa określa zasady, że organy administracji i społeczności muszą przestrzegać w zakresie bezpieczeństwa systemów informatycznych. W szczególności załączniki do RGS określają format certyfikatów elektronicznych, których administracje muszą używać do realizacji podpisu elektronicznego w ramach teleserwisów. Zgodne z normą infrastruktury zarządzania certyfikatami są certyfikowane zgodnie z metodą zwaną „kwalifikacją”. Te infrastruktury zarządzania certyfikatami nazywane są urzędem certyfikacji. Zaufane osoby trzecie, gwarantują elektroniczną tożsamość firmy i jej pracowników.
Belgijski ustawodawca transponował w 2001 r . Dyrektywę europejską z 13 grudnia 1999 r. W sprawie ram wspólnotowych dotyczących podpisów elektronicznych. Ta transpozycja do prawa belgijskiego została dokonana poprzez przyjęcie dwóch ustaw: ustawy z dnia 20 października 2000 r. Wprowadzającej korzystanie ze środków telekomunikacji i podpisu elektronicznego w postępowaniu sądowym i pozasądowym, która zmienia w szczególności art. 1322 kodeksu cywilnego oraz art. Ustawa z dnia 9 lipca 2001 r. Ustanawiająca określone zasady dotyczące ram prawnych dla podpisów elektronicznych i usług certyfikacyjnych. To właśnie ta ostatnia ustawa wyjaśnia kwestię usług certyfikacyjnych (PSC), ich role i obowiązki.
Podpis elektroniczny jest teraz częścią prawa belgijskiego i ma taką samą moc prawną jak podpis odręczny. Chociaż po stronie doktryny wylało się dużo atramentu, można uznać, że dziś jest to przedmiotem jasnych i racjonalnych przepisów. Era internetu i elektroniki wkroczyła na rynek prawniczy i logiczne było, że podpis znajdzie się tam. Głównym celem dyrektywy europejskiej 1999/93 / WE z dnia 13 grudnia 1999 r. W sprawie wspólnotowych ram w zakresie podpisów elektronicznych było promowanie transgranicznej wymiany handlowej, ustanowienie pewnego stopnia zaufania do tych transakcji oraz nadanie całości wartości prawnej równoważnej do podpisu odręcznego.
Od lutego 2019 r.aplikacja ITSME umożliwia kwalifikowane podpisy elektroniczne zgodnie z europejskim rozporządzeniem eIDAS , jest dostępna na platformach Connective , Doccle, Isabel Group i Luxtrust.
Podpis cyfrowy (zwany w tekstach legislacyjnych podpisem elektronicznym ) jest uznawany w prawie szwajcarskim od 2003 r. W związku z tym jest równoważny z podpisem pisemnym wymaganym przez prawo dla niektórych form umowy.
Mało używany w praktyce, Sekretariat Stanu ds. Gospodarczych (SECO) uruchomił program „ SuisseID ” w maju 2010 r., Aby promować i ułatwiać dostęp do tej technologii dla przedsiębiorstw i osób fizycznych. Mając na celu ułatwienie obrotu gospodarczego drogą elektroniczną, system od 2011 roku umożliwia również zamawianie dokumentów urzędowych (w szczególności z rejestru karnego lub wypisu z prokuratury) przez Internet od organów administracji publicznej, zgodnie z chęć stworzenia „e-rządu”, aby ułatwić dostęp do takich dokumentów i zmniejszyć biurokrację .
Prawo dotyczące ram prawnych technologii informatycznych stanowi, że „podpis osoby umieszczony na dokumencie technologicznym jest wykonalny przeciwko niemu, gdy jest to dokument, którego integralność jest zapewniona i kiedy podpis, a od tego czasu związek między podpisem a dokumentem został utrzymany ” .