Après un lent démarrage après la Directive de 1999, la signature électronique décolle enfin en Europe. A l’intersection des aspects légaux, techniques et institutionnels, ce domaine présente de nombreux challenges qui ont dû être surmontés pour que les acteurs européens puissent bénéficier de ses avantages. La présentation va se focaliser sur le framework SD-DSS et le logiciel compagnon NexU, deux outils open-source qui facilitent l’adoption de ces technologies en prenant en charge les aspects techniques complexes de la signature avancée, de la confiance et de l’accès aux smartcards.
6. Signature
• Combinaison d’un hashage et d’un chiffrement
• Signature
• Hashage des données à signer
• Chiffrement du hash avec la clé privée
• Vérification
• Déchiffrement de la signature avec la clé publique
• Hashage des données signées
• Comparaison du hash calculé avec le hash déchiffré
16 / 02 / 20166
18. Format de signature avancée
• Améliore l’interopérabilité
• Enrichit les signatures
• Nouveaux attributs signés / non-signés
• Standards internationaux
16 / 02 / 201618
19. Advanced Electronic Signatures
16 / 02 / 201619
CAdES (CMS)
Enveloping, Detached
EN 319 122
XAdES (XML)
Enveloped, Enveloping, Detached
EN 319 132
PAdES (PDF)
Enveloped
EN 319 142
ASiC (container)
Detached
EN 319 162
Validation
EN 319 102
20. Baseline Profile LTA
Baseline Profile LT (Long Term)
Baseline Profile T
Niveaux de signatures
16 / 02 / 201620
Baseline Profile B (Basic)
Original
file
Signed
attributes
Signature
Timestamp
Revocation
Data
Archive
Timestamp
21. Validation d’une signature
• Document signé + timestamps
• Certificate
• Signé par issuer
• Révocation OCSP
• Signée par OCSP Server
• Signé par issuer
• Issuer
• Signé par root issuer
• Révocation CRL
• Signée par Root Issuer
• Root Issuer
• Trusté par national TL
• National Trusted List
• Signé par LTO
• European Trusted List
• Signé par LOTL SO
1 document signé
• 9 certificats
• 11 validations de signatures
• Validation de format
• Validation de policy
Environ 70 éléments de validations
pour un document signé.
16 / 02 / 201621
23. DSS – Digital Signature Service
• Projet open-source financé par la Commission
Européenne
• Signature / extension / validation de signatures avancées
(CAdES, XAdES, PAdES, ASiC)
• Web services SOAP / REST pour la signature / extension
et la validation
• Support MSCAPI, PKCS#11, PKCS#12
• Validation configurable au moyen d'une policy
• Prise en charge de la LOTL / TL
• Testé et validé avec des experts de l'ETSI et lors de tests
internationaux (PlugTests)
16 / 02 / 201623
24. 3 state-less steps
Get data to sign
Sign the digest
Sign document
16 / 02 / 201624
DSS Server Client side
25. NexU : signature in the browser
• Fin du support de NPAPI (Java applet)
• Projet open-source
• Permet de communiquer avec les SSCD sans utiliser Java
dans le browser
• Agent installé sur le poste du client
16 / 02 / 201625
29. Questions à se poser avant
• Type de signature
• Validation adaptée au risqué
• Préservation
• Fallback si pas de SSCD
16 / 02 / 201629
Légal
Métier
Technique
30. Archivage
16 / 02 / 201630
DOCUMENT LIFE TIME 30 years
SIGNATURE
TIMESTAMP
TIMESTAMP
TIMESTAMP
31. DSS en quelques liens
• Joinup : http://joinup.ec.europa.eu/asset/sd-
dss/description
• Démo : http://dss.nowina.lu/
• GitHub : https://github.com/esig/dss
• BugTracker : https://esig-dss.atlassian.net
16 / 02 / 201631
32. NexU en quelques liens
• Détails : http://nowina.lu/news/nexu/
• Démo : http://lab.nowina.solutions/nexu-demo/
• GitHub : https://github.com/nowina-solutions/nexu
• BugTracker : https://nowina.atlassian.net/
16 / 02 / 201632
33. Q / A
• Merci pour votre attention !
• Pour en savoir plus :
• http://www.nowina.lu/
16 / 02 / 201633
Notas do Editor
Ce qu’on encrypte avec une clé, peut être décodé par l’autre.
contrôle exclusif
Donc le problème d’échange de clé publique est réglé.
On a confiance en l’entreprise, donc on peut faire confiance dans le certificate de la personne.
Mais cela depend, l’entreprise peut êmettre des certificats pour les services techniques.
On peut faire confiance à un issuer specifique, mais même dans ce cas là, il y a encore la politique de verification de l’identité.
Par exemple, par email, plutôt que par verification de la carte d’identité en face to face.
Quand on a fait un vendeur, il y en a d’autres. Il faut se taper toutes les certificates policy une à une.
C’est encore simple quand on a un émetteur par pays. Luxembourg : LuxTrust + Carte identité. Belgique : Fedict + …
Les certificate policy sont revues par les organismes nationaux qui surveillent les émetteurs. Un seul organisme doit se taper les certificate policy.
Etats membres sont obliges de publier.
Montrer TL Belge.
JO : http://eur-lex.europa.eu/legal-content/FR/TXT/?qid=1453984209762&uri=CELEX:52015XC1224%2801%29
On peut maintenant truster les documents qui viennent de toute l’europe
Décrire DSS comme une boîte à outil qui permet de réaliser les différentes opérations, en collaboration avec NexU.
Signature avec Nexu-Demo
Validation avec Nexu-Demo
Live coding
Montrer XAdES
Présentation de la demo DSS
Extension de XAdES
Montrer XAdES avec Timestamp
Validater XAdES
Validation de « vieux » documents
Expiration des certificats (3-5ans)
Expiration des certificats de timestamp
Expiration des algorithmes
Evidence Record
CMS : RFC 4998
XML : RFC 6283
PSDC