Signature de document

Certificats

Signature

Construction de Documenso — Partie 2 : Validité de la signature

Construction de Documenso — Partie 2 : Validité de la signature

5 avr. 2024

TLDR; Les signatures peuvent être valides et conformes pour différents niveaux de signature, même si certains validateurs affichent des erreurs de niveau supérieur. Toutes les mesures de sécurité utiles ne sont pas imposées par la loi.

Une question valide

Il y a quelques jours, un utilisateur précoce a soulevé cette question dans notre [Discord](https://documen.so/discord) :

Vous pouvez consulter le validateurs ici : https://documen.so/eu-validator

Pour ceux qui ne sont pas familiers avec l'outil, il a utilisé l'outil de validation du Cadre du Service de Signature Numérique (DSS) de l'UE pour vérifier la signature d'un document signé avec Documenso. L'UE fournit cet outil pour aider les utilisateurs et les prestataires à vérifier le niveau de validité de leurs signatures.

Un petit rappel de Construire Documenso — Partie 1 : Certificats :

Documenso insère toutes les signatures visuelles dans le document puis le scelle en utilisant le certificat d'entreprise "Documenso Inc.". Cela rend le document PDF résultant inviolable et garantit qu'il n'a pas changé depuis la signature.

Avant de répondre à la question de savoir si le document a été signé correctement, nous devons comprendre quel était l'objectif.

Il existe trois niveaux de signature dans le règlement eIDAS européen :

  1. Signatures Électroniques Simples (Niveau 1/ SES) : C'est juste une signature visuelle ou même une case à cocher sur un document.

  2. Signatures Électroniques Avancées (Niveau 2/ AES) : Une véritable signature cryptographique (pas seulement un sceau sur l'ensemble du document, mais une signature spécifique), utilisant un certificat lié aux données d'identification du signataire.

  3. Signatures Électroniques Qualifiées (Niveau 3/ QES) : Identique au niveau 2, mais effectuée par une entité certifiée par le gouvernement sur du matériel certifié et après avoir identifié le signataire avec un document d'identité officiel (p. ex., passeport)

💡 Remarque : Le numéro 2 (AES) est ce que la plupart des gens imaginent par signatures numériques. Mais la plupart du marché utilise le niveau 1, plus un sceau sur l'ensemble du document au nom du prestataire de signature (par exemple, Documenso). Les données du signataire ne sont insérées visuellement, pas dans la signature réelle. Pourquoi ? L'une des raisons est que c'est beaucoup plus facile, et sans un cadre open source facilement disponible pour s'en inspirer, c'est assez compliqué à construire. C'est quelque chose que nous visons à construire (ce que beaucoup ont fait) et open source (ce que personne n'a fait).

Du point de vue de l'eIDAS, Documenso propose des signatures de Niveau 1/ SES car elle ne respecte pas toutes les exigences du Niveau 2/ AES. Cela signifie que, techniquement, il n'est pas nécessaire d'apposer un sceau sur le document pour atteindre ce niveau de validité (du moins dans le cadre de l'eIDAS). Nous le faisons quand même car cela améliore le niveau de confiance que les utilisateurs peuvent avoir dans le document signé. Appliquer un sceau sur le document, bien que non légalement requis, est un excellent exemple de l'approche de Documenso en matière de signatures. Dans un premier temps, nous visons à fournir toutes les exigences légales pour un cas d'utilisation donné. Ensuite, nous ajoutons toute protection qui peut être ajoutée sans friction injustifiée à la création de la signature.

Pas si valide, mais à quel point valide

Q : Alors, la signature dans l'image est-elle valide ?

R : Oui, en tant que eidas Niveau 1 SES.

Q : Alors pourquoi dit-il "Impossible de construire une chaîne de certificats jusqu'à une liste de confiance"

R : Le certificat que nous utilisons pour sceller le document après avoir inséré les signatures n'est pas sur la liste de confiance de l'UE.

Q : Cela signifie-t-il que c'est moins sécurisé ?

R : Non, cela signifie que le prestataire (Wisekey) n'est pas sur une liste maintenue par l'UE. La signature cryptographique est tout aussi solide que n'importe quelle autre

Pour quelqu'un qui ne traite pas cela quotidiennement, cela peut être difficile à comprendre. Que vous utilisiez un certificat que vous avez généré vous-même, un généré par une autorité de certification (CA) comme Wisekey, ou un autre sur la liste de confiance de l'UE (par exemple, Bundesdruckerei), la sécurité cryptographique garantissant que le document n'a pas été falsifié est toujours la même. De nombreux prestataires comme Documenso, DocuSign, PandaDoc et Digisigner utilisent tous cette méthode pour leurs offres régulières. Cela signifie que si vous deviez faire passer un document signé par eux par le validateur ci-dessus, le résultat serait le même[1]. La question intéressante est pourquoi ? Pourquoi le faire comme cela ?

L'infrastructure des certificats est cassée

Alors qu'il y a certains frais réels liés à la fourniture d'AES et de QES, la réalité brutale est que c'est simplement une bonne affaire de facturer pour eux par signature, ce qui les rend inadaptés aux "offres standard" ; presque personne n'a les ressources pour mettre cela en place par eux-mêmes. Bien que ce processus initial pour devenir une entité certifiée QES soit vraiment coûteux, vendre les certificats par la suite est très lucratif. Cela conduit à moins d'innovation dans cet espace et seulement de grands acteurs offrant ces services à haute conformité. Même les certificats utilisés uniquement pour sceller des documents sans être certifiés QES sont vendus à une large gamme de prix, et ils coûtent presque rien à produire.

Pourquoi donc ?

Q : Pourquoi les gens achètent-ils un certificat pour de l'argent et ne le génèrent-ils pas simplement eux-mêmes ? La sécurité cryptographique n'est-elle pas la même ?

R : Les certificats auto-générés ne sont pas reconnus pour des signatures de conformité de niveau supérieur comme le QES

Q : Donc si vous n'avez pas besoin de signatures de niveau supérieur, vous pourriez simplement en générer un vous-même ?

R : Oui, vous pourriez. Puisque le niveau 1 d'eIDAS ne nécessite pas de certificat, vous pourriez utiliser le vôtre.

Q : Pourquoi plus de gens ne le font-ils pas ?

R : Une raison est qu'en plus de la liste de confiance de l'UE, il y en a d'autres, comme la liste de confiance d'Adobe. Bien que non légalement requise, être sur celle-ci (comme Wisekey) vous donne une coche verte dans Adobe PDF, qui est comment la plupart des gens vérifient la validité des signatures.

Q : Ce n'est pas une question, mais tout cela semble bizarre

R : Cela l'est. C'est l'une des raisons pour lesquelles Documenso existe. Nous prévoyons de faciliter cela.

Q : Comment ?

R : En expliquant et en fournissant des outils faciles à utiliser et éventuellement des certificats de signature hautement conformes gratuits pour tout le monde.

En fin de compte, nous prévoyons de démarrer une autorité de certification gratuite appelée Let's Sign, nommée d'après une autre institution qui a brisé le paradigme des certificats payants au bénéfice d'Internet : Let's Encrypt.

Comme toujours, n'hésitez pas à vous connecter sur Twitter / X ou Discord si vous avez des questions ou des commentaires.

Meilleures salutations de Hambourg,

Timur


[1] Le format de signature (p. ex. PKCS7-B) variera. C'est le format que la signature insérée dans le document prend. L'eIDAS lui-même ne nécessite pas spécifiquement un format donné, mais le PAdES défini par l'UE est principalement utilisé par les prestataires européens.