Podpis cyfrowy

Podpis cyfrowy jest mechanizmem, dzięki czemu możliwe jest zagwarantowanie integralności dokumentu elektronicznego oraz do uwierzytelnienia jego autora, przez analogię z odręcznym podpisem dokumentu papierowego.

Różni się od podpisu pisemnego tym, że nie jest wizualny, ale odpowiada ciągowi znaków. Nie należy go mylić z odręcznym podpisem elektronicznym .

Funkcje podpisu

Mechanizm podpisu cyfrowego musi mieć następujące właściwości:

• Musi umożliwiać czytelnikowi dokumentu identyfikację osoby lub organizacji, która złożyła jego podpis (własność identyfikacyjna).
• Musi gwarantować, że dokument nie został zmieniony od chwili podpisania go przez autora do czasu konsultacji z czytelnikiem (własność integralności).

W tym celu muszą być spełnione następujące warunki  :

• autentyczny: tożsamość sygnatariusza musi być identyfikowalna z pewnością;
• odporny na manipulacje: podpis nie może zostać sfałszowany. Ktoś nie może udawać kogoś innego;
• jednorazowy: podpis nie nadaje się do ponownego wykorzystania. Jest częścią podpisanego dokumentu i nie można go przenieść do innego dokumentu;
• niezmienny: podpisany dokument jest niezmienny. Po podpisaniu nie można go już zmieniać;
• nieodwołalne: osoba, która podpisała, nie może temu zaprzeczyć.

W praktyce większość istniejących procedur podpisu cyfrowego opiera się na kryptografii asymetrycznej , w dalszej części artykułu zajmiemy się tym najczęściej występującym przypadkiem. Przykłady wymiany danych ilustrują postacie Alice i Bob .

Typowa operacja

Przypuśćmy, że Alicja chce wysłać Bobowi wiadomość, którą może zweryfikować.

Wiadomość, którą Alicja chce wysłać, jest plikiem binarnym M dowolnego rodzaju (tekst, obraz, plik wykonywalny itp.), Który można porównać do pliku tekstowego .

Oto opis klasycznej asymetrycznej metody podpisu szyfrowania.

Wdrożenie charakterystycznej architektury

Alicja wybiera:

• asymetryczne szyfrowanie obejmuje funkcję szyfrowania C i funkcję deszyfrowania D  ;
• hash które oznaczają H .

Dla wybranego szyfrowania Alicja wygenerowała klucz prywatny K pr i klucz publiczny K pb  :

• przesyła klucz publiczny K pb i funkcję skrótu H do Boba przez niezabezpieczony kanał;
• utrzymuje klucz prywatny K pr w tajemnicy.

D , H i K pb nie muszą być tajemnicą. C musi jednak pozostać tajemnicą.

Przygotowanie podpisanej wiadomości

Alicja przygotowuje podpisaną wiadomość, w tym celu:

• tworzy skrót wiadomości za pomocą wybranej funkcji skrótu H ( M );
• szyfruje ten kondensat za pomocą funkcji szyfrowania C przy użyciu swojego klucza prywatnego K pr . Uzyskany wynik to podpis wiadomości: S M = C ( K pr , H ( M ));
• Przygotowuje podpisanej wiadomości przez umieszczenie jasny komunikat M i sygnaturę S M w każdym pojemniku: M podpisany = ( S M , M ).

Alicja przesyła podpisaną M , podpisaną wiadomość, do Boba przez niezabezpieczony kanał.

Odbieranie podpisanej wiadomości

Bob otrzymuje podpisaną wiadomość. Aby zweryfikować autentyczność wiadomości:

• tworzy skrót czystego tekstu przy użyciu funkcji skrótu Alicji: H ( M );
• odszyfrowuje podpis za pomocą funkcji deszyfrującej D z kluczem publicznym K pb, tj .: D Sm = D ( K pb , S M );
• porównuje D Sm z H ( M ).

W przypadku, gdy podpis jest autentyczny, D Sm i H ( M ) są równe, ponieważ zgodnie z właściwościami szyfrowania asymetrycznego: D Sm = D ( K pb , S M ) = D ( K pb , C ( K pr , H ( M ))) = H ( M ).

Wiadomość jest następnie uwierzytelniana.

Ochrona przed atakami

Załóżmy, że przeciwnik o imieniu Mallory chce wysłać złośliwą wiadomość M ' do Boba podszywającego się pod Alicję.

Mallory zna elementy D , H i K pb, które nie są tajemnicą.

Aby Bob dał się oszukać i uwierzytelnił wiadomość jako pochodzącą od Alicji, Mallory musi być w stanie wygenerować z tych elementów sfałszowany podpis S M ', który jest taki, że: D ( K pb , S M' ) = H ( M ' ).

Zadaniem, które musi wykonać Mallory, jest zatem odwrócenie funkcji deszyfrującej D dla klucza publicznego K pb , tj. Znalezienie C , bez znajomości klucza prywatnego K pr .

Szyfry asymetryczne są precyzyjnie zaprojektowane i dobrane tak, aby operacja ta była matematycznie trudna (jeśli nie niemożliwa).

Luki w zabezpieczeniach

Z teoretycznego punktu widzenia siła urządzenia szyfrującego będzie zależeć od siły wybranego szyfrowania asymetrycznego i wielkości wybranych kluczy. Zaimplementowane standardy są ogólnie uważane za matematycznie bezpieczne.

Z praktycznego punktu widzenia:

• podpis cyfrowy nadal podlega problemowi rozpowszechniania / uwierzytelniania klucza publicznego. Ten problem jest zazwyczaj rozwiązywany poprzez skonfigurowanie infrastruktury klucza publicznego , co prowadzi do wszystkich luk w zabezpieczeniach właściwych dla tego typu urządzeń;
• podpis cyfrowy jest słabym uwierzytelnieniem, ponieważ opiera się tylko na współczynniku pamięci , w tym przypadku na kluczu prywatnym. W przypadku naruszenia bezpieczeństwa osoba atakująca może tworzyć fałszywe wiadomości, które teoretycznie są całkowicie nie do odróżnienia od prawdziwych wiadomości.

Wariacje

Historycznie rzecz biorąc, pierwsze podpisy były indywidualne. Wprowadzono:

• Grupa podpisu, w której jeden członek może podpisać swój własny klucz do grupy, lider grupy (identyfikowany własnym kluczem) może tylko ustalić, kto wystawił podpis.
• Te podpisy pierścieniowe , które są podobne do nich, ale gdzie nie jest możliwe, aby indywidualnie zidentyfikować sygnatariusza.

Istnieją warianty, takie jak K wśród N , gdzie podpis jest uważany za ważny, jeśli K członków grupy spośród N zdefiniowanych zostało podpisanych. System ten znajdzie zastosowanie np. Wtedy, gdy do uruchomienia urządzenia o wadze przekraczającej prerogatywy każdej z nich konieczne będzie zezwolenie na kilka usług. Miałoby to miejsce na przykład w przypadku procedury podsłuchowej wymagającej zgody zarówno uprawnionego organu władzy wykonawczej, jak i uprawnionego organu ustawodawczego. Wykorzystywanie informacji państwowych do celów osobistych jest zatem zabronione, ponieważ odblokowanie wymaga zewnętrznej koordynacji, która w związku z tym sama zostanie prześledzona.

Wartość prawna

Unia Europejska

Prawodawstwo europejskie określa warunki interoperacyjności technicznej i prawnej podpisów cyfrowych w Unii. Podpis cyfrowy jest oficjalnie uznawany w Europie od stycznia 2000 r. (Dyrektywa 1999/93 / WE), ale od tamtej pory tak jest1 st lipiec 2016, data wejścia w życie rozporządzenia eIDAS (identyfikacja elektroniczna i usługi zaufania), że jego minimalna wartość prawna jest taka sama w całej Unii Europejskiej (i kilku krajach partnerskich: Liechtensteinie, Norwegii i Islandii). Przepis ten określa w szczególności, że kwalifikowany podpis elektroniczny ma taki sam status i takie same skutki prawne jak jego odręczny odpowiednik.

Trzy poziomy podpisu są rozpoznawane, proste, zaawansowane i kwalifikowane. Rozporządzenie określa w istocie:

• Podpis elektroniczny , który ustanawia hipotetycznego połączenia pomiędzy dwoma zestawami danych cyfrowych: jeden stanowi podpis zastosowanie do drugiego. Prosty podpis elektroniczny można zatem ograniczyć do nazwy zapisanej na dole wiadomości elektronicznej, niekoniecznie gwarantuje to integralność podpisanych danych itp.
• Zaawansowany podpis elektroniczny , który jest podpis elektroniczny, dla których linki techniczne są ustalane pomiędzy podpisanych danych, podpis i sygnatariusza do zagwarantowania integralności danych, identyfikację podpisującego oraz niezaprzeczalności. Ten poziom z konieczności wymaga podpisu cyfrowego, zazwyczaj z wykorzystaniem środków kryptograficznych.
• Kwalifikowany podpis elektroniczny , który jest zaawansowany podpis elektroniczny oparty na certyfikacie kwalifikacje i utworzonej przy użyciu urządzenia podpis kwalifikowany . Poziom ten uzupełnia zapewnienie jakości związane z jednej strony z nadzorem nad środkami i procesami realizowanymi przez urząd certyfikacji (np. W celu zagwarantowania, że ​​tożsamość wymieniona na certyfikacie podpisującym odpowiada tożsamości osoby fizycznej, która otrzymała ten certyfikat) oraz, z drugiej strony, zgodności urządzenia do podpisu (np. karty elektronicznej zawierającej certyfikat, na której kryptograficzne tworzenie podpisu będzie się odbywać pod względem technicznym).

Rozporządzenie eIDAS w podobny sposób definiuje pojęcie pieczęci elektronicznej , która może być również zaawansowana lub nawet kwalifikowana. Pod względem technicznym identyczny z podpisem elektronicznym pieczęć elektroniczna różni się od niego certyfikatem identyfikującym osobę prawną (zazwyczaj organizację), a nie osobę fizyczną.

W tym samym kontekście pojęcie elektronicznego znacznika czasu jest również definiowane jako zbiór danych elektronicznych, które w połączeniu z innymi stanowią dowód na istnienie sekund w określonym momencie. Ten elektroniczny znacznik czasu może mieć poziom kwalifikowany.

W zakresie interoperacyjności prawnej rozporządzenie eIDAS określa w szczególności następujące elementy:

• Kwalifikowany podpis elektroniczny ma taką samą wartość prawną jak podpis odręczny we wszystkich krajach członkowskich.
• Nie można odmówić podpisu, pieczęci lub znacznika czasu przedłożonego w sądzie jako dowód wyłącznie na tej podstawie, że są one w formie elektronicznej, ani tylko na tej podstawie, że nie są kwalifikowane.

Aby każdy mógł sprawdzić, czy podpis elektroniczny, pieczęć elektroniczna lub elektroniczny znacznik czasu są kwalifikowane , każdy kraj członkowski musi udostępnić listę zaufanych organów ( urzędów certyfikacji, urzędów certyfikacji czasu ), która wymienia przynajmniej wszystkie kwalifikowane organy. . Włączenie niewykwalifikowanych zaufanych organów jest opcjonalne. Komisja Europejska publikuje wykaz tych krajowych zaufanych list, a także jako narzędzie do przeglądania, przeglądanie i sondowanie ich treść.

Oprócz interoperacyjności prawnej rozporządzenie eIDAS i jego decyzje wykonawcze określają również elementy interoperacyjności technicznej, takie jak zaawansowane formaty podpisu elektronicznego, które muszą być uznawane przez usługi publiczne. Te formaty są oparte na standardach technicznych ETSI .

Od 1 st lipiec 2.013, elektroniczna wersja Dziennika Urzędowego Unii Europejskiej ma moc prawną. To wydanie elektroniczne jest publikowane jako zbiór dokumentów w formacie PDF odpowiadających wszystkim wersjom językowym o tym samym numerze, do którego dołączany jest dokument XML zapewniający integralność całości. Ten dokument XML, który zawiera hash każdego dokumentu PDF będącego członkiem tej kolekcji, jest podpisany przez upoważnioną osobę Urzędu Publikacji Unii Europejskiej za pomocą kwalifikowanego podpisu elektronicznego z datą i godziną, zgodnie z XAdES format techniczny .

Francja

Od 2000 r. Elektroniczny podpis dokumentu ma we Francji taką samą wartość prawną jak podpis odręczny, zgodnie z następującymi tekstami:

• Prawo n o  2000-230 z dnia 13 marca 2000 roku dostosowującej prawo dowodu do technologii informacyjnych i odnoszące się do podpisów elektronicznych;
• Jego Dekret realizacja n O  2001-272 z30 marca 2001.

Zgodnie z tym dekretem bezpieczne urządzenie służące do składania podpisu elektronicznego musi być poświadczone zgodnie z wymaganiami określonymi powyżej:

1. Albo przez francuskiego premiera , przewidzianych przez dekret n °  2002-535 z dnia 18 kwietnia 2002 roku odnosząca się do oceny i certyfikacji bezpieczeństwa dostarczonych przez produkty IT i technologii informatycznych systemów. Wydanie certyfikatu zgodności jest podawane do wiadomości publicznej.
2. Lub przez organ wyznaczony do tego celu przez państwo członkowskie Unii Europejskiej.

Jednak pełna transpozycja dyrektywy europejskiej 1999/93 / WE wymagała dłuższego procesu.

Natomiast od 2010 r. Pojęcie podpisu cyfrowego, definiowane jako przechowywanie w postaci cyfrowej podpisu odręcznego składanego za pomocą ekranu dotykowego, zostało wprowadzone do prawa francuskiego artykułem R 249-11 francuskiego kodeksu postępowania karnego. .

Ogólne odniesienie bezpieczeństwa określa zasady, że organy administracji i społeczności muszą przestrzegać w zakresie bezpieczeństwa systemów informatycznych. W szczególności załączniki do RGS określają format certyfikatów elektronicznych, których administracje muszą używać do realizacji podpisu elektronicznego w ramach teleserwisów. Zgodne z normą infrastruktury zarządzania certyfikatami są certyfikowane zgodnie z metodą zwaną „kwalifikacją”. Te infrastruktury zarządzania certyfikatami nazywane są urzędem certyfikacji. Zaufane osoby trzecie, gwarantują elektroniczną tożsamość firmy i jej pracowników.

Belgia

Belgijski ustawodawca transponował w 2001 r . Dyrektywę europejską z 13 grudnia 1999 r. W sprawie ram wspólnotowych dotyczących podpisów elektronicznych. Ta transpozycja do prawa belgijskiego została dokonana poprzez przyjęcie dwóch ustaw: ustawy z dnia 20 października 2000 r. Wprowadzającej korzystanie ze środków telekomunikacji i podpisu elektronicznego w postępowaniu sądowym i pozasądowym, która zmienia w szczególności art. 1322 kodeksu cywilnego oraz art. Ustawa z dnia 9 lipca 2001 r. Ustanawiająca określone zasady dotyczące ram prawnych dla podpisów elektronicznych i usług certyfikacyjnych. To właśnie ta ostatnia ustawa wyjaśnia kwestię usług certyfikacyjnych (PSC), ich role i obowiązki.

Podpis elektroniczny jest teraz częścią prawa belgijskiego i ma taką samą moc prawną jak podpis odręczny. Chociaż po stronie doktryny wylało się dużo atramentu, można uznać, że dziś jest to przedmiotem jasnych i racjonalnych przepisów. Era internetu i elektroniki wkroczyła na rynek prawniczy i logiczne było, że podpis znajdzie się tam. Głównym celem dyrektywy europejskiej 1999/93 / WE z dnia 13 grudnia 1999 r. W sprawie wspólnotowych ram w zakresie podpisów elektronicznych było promowanie transgranicznej wymiany handlowej, ustanowienie pewnego stopnia zaufania do tych transakcji oraz nadanie całości wartości prawnej równoważnej do podpisu odręcznego.

Od lutego 2019 r.aplikacja ITSME umożliwia kwalifikowane podpisy elektroniczne zgodnie z europejskim rozporządzeniem eIDAS , jest dostępna na platformach Connective , Doccle, Isabel Group i Luxtrust.

szwajcarski

Podpis cyfrowy (zwany w tekstach legislacyjnych podpisem elektronicznym ) jest uznawany w prawie szwajcarskim od 2003 r. W związku z tym jest równoważny z podpisem pisemnym wymaganym przez prawo dla niektórych form umowy.

Mało używany w praktyce, Sekretariat Stanu ds. Gospodarczych (SECO) uruchomił program „ SuisseID  ” w maju 2010 r.,  Aby promować i ułatwiać dostęp do tej technologii dla przedsiębiorstw i osób fizycznych. Mając na celu ułatwienie obrotu gospodarczego drogą elektroniczną, system od 2011 roku umożliwia również zamawianie dokumentów urzędowych (w szczególności z rejestru karnego lub wypisu z prokuratury) przez Internet od organów administracji publicznej, zgodnie z chęć stworzenia „e-rządu”, aby ułatwić dostęp do takich dokumentów i zmniejszyć biurokrację .

Quebec

Prawo dotyczące ram prawnych technologii informatycznych stanowi, że „podpis osoby umieszczony na dokumencie technologicznym jest wykonalny przeciwko niemu, gdy jest to dokument, którego integralność jest zapewniona i kiedy podpis, a od tego czasu związek między podpisem a dokumentem został utrzymany ” .

Uwagi i odniesienia

1. Podpis elektroniczny z .Net , Developpez.com, dostęp 24 października 2013.
2. (en) Bruce Schneier, Why Digital Signatures Are Not Signatures , Schneier on Security , 15 listopada 2000, dostęp 24 października 2013.
3. CEF Digital - podpis elektroniczny - Jakie są przepisy?
4. „  Nowy podpis elektroniczny wejdzie w życie w lipcu 2016 r.  ” , W dzienniku Journaldunet ,3 maja 2016 r(dostęp 23 maja 2016 )
5. „  The eIDAS Regulation  ” , on ANSSI ( data dostępu: 13 czerwca 2019 r. )
6. „  3 stopnie wiarygodności podpisu elektronicznego  ” , na factory-digitale.fr , L'Usine Digitale ,4 grudnia 2017 r(dostęp 13 czerwca 2019 )
7. Rozporządzenie eIDAS , art. 3, definicja 10: „dane w formie elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w formie elektronicznej i które sygnatariusz wykorzystuje do podpisania”.
8. Cyfrowy CEF - Podpis elektroniczny - Często zadawane pytania
9. (w)  Amerykańskie zaufane listy dostawców usług certyfikacyjnych
10. Przeglądarka zaufanych list
11. W szczególności decyzja wykonawcza (UE) 2015/1506
12. Rozporządzenie (UE) n O  216/2013 [PDF] .
13. Dziennik Urzędowy Unii Europejskiej .
14. [PDF] Podpis elektroniczny, aktualizacja sytuacji, Paryż, Centralna Dyrekcja Bezpieczeństwa Systemów Informacyjnych, 2004 .
15. „  Ustawa z dnia 20 października 2000 r.  ” [PDF] , Belgian Monitor ,22 grudnia 2000(dostęp 29.04.2015 ) , s.  42698.
16. „  Ustawa z dnia 9 lipca 2001 r.  ” [PDF] , Belgian Monitor ,29 września 2001(dostęp 29.04.2015 ) , s.  33070.
17. Federalne prawo dotyczące usług certyfikacyjnych w dziedzinie podpisów elektronicznych .
18. FF 2001 5424 [PDF] .
19. „  Rynek podpisu elektronicznego jest prawnie otwarty, ale wciąż mało używany  ” , w Le Temps (konsultacja z 6 listopada 2010 r . ) .
20. „  SuisseID” uwierzytelnia podpisy cyfrowe  ” , w Le Temps ( sprawdzono 6 listopada 2010 r . ) .
21. SuisseID i możliwości jego zastosowania .
22. Cyberadministracja na stronie internetowej Sekretariatu Stanu ds . Gospodarki .
23. „  Ustawa o ramach prawnych technologii informatycznych  ” (dostęp: 29 kwietnia 2015 ) .

Załączniki

Powiązane artykuły

• Poświadczenie
• Certyfikat elektroniczny
• Szyfrowanie
• Kryptografia asymetryczna
• Wyciek informacji
• Podpisanie klucza
• Podpis elektroniczny
• Ochrona danych
• Podpis w ciemno
• Podpis (internet i usenet)
• Odręczny podpis elektroniczny

Linki zewnętrzne

• Dyrektywa 1999/93 / WE w sprawie wspólnotowych ram w zakresie podpisów elektronicznych
• Dekret n o  2001-272 z dnia 30 marca 2001 roku, do celów art 1316-4 z kc (obecnie art 1367 W 2016 roku po reformie prawa umów) na podpis elektroniczny