Discussion :

[Namica]

Bonjour,

Je vous présente la traduction d'un article déjà ancien de Bruce Schneier.
Pourquoi les signatures numériques ne sont pas des signatures

[Jipété]

Salut,

Intéressant, mais malgré le traducteur, le relecteur et le correcteur, cette phrase (dernier paragraphe) est passée au travers :

Les signatures numériques prouvent mathématiquement qu'une valeur secrète connue sous le nom de la clé privée était présente dans un ordinateur au moment ou la signature d'Alice a été calculée.

En bon français, ça devrait être : Les signatures numériques prouvent mathématiquement qu'une valeur secrète connue sous le nom de clé privée était présente dans un ordinateur au moment où la signature d'Alice a été calculée.

Bonne correction,

[Namica]

...
Bonne correction,
...

Correction faite.
Merci pour votre regard attentif.

[psylox]

Bonjour,

L'agumentaire de ce monsieur me parait un peu court "et si un virus ..", de plus si c'est l'ordinateur qui signe et pas vraiment Alice alors on peut dire que Alice n'a pas signé. Mouais ...

Parlons des virus et gardons le même type d'argument. Du coup si un malfrat rentre chez Alice, lui met un flingue sur la tempe et lui demande de signer un document. Il faudra que Alice prouve devant un tribunal qu'elle avait un flingue sur la tempe, et là pareil ce sera sa parole contre celle du malfrat.
Parlons maintenant des faussaires, le faussaire a accès à la signature de Alice (par exemple il lui a volé sa carte bleu, que Alice avait bien entendu signée au dos), du coup il peut signer un document avec la même signature qu'Alice, et sans que Alice n'est jamais vu le document, encore il faudra que Alice prouve que ce n'est pas elle qui a signé, et ce sera sa parole contre celle du faussaire.

En résumé, si on reprend l'article proposé ici: Un signature n'est pas une signature. (et on vit dans un monde de merde)

[Neckara]

Bonjour,

Le programme décrypte la clé privée avec le mot de passe

Déchiffre.

Décrypter ne veut rien dire en français. Edit : mea culpa, pas très réveillé ce matin moi, cf posts suivants.


Sinon l'article est en effet intéressant.
Il y a aussi le fait que la sécurité d'une signature ne dure que jusqu'à ce que l'algorithme ne soit craqué. Si un jour on craque RSA, c'est toute les signatures RSA qui ne vaudront plus rien. À moins bien évidement d'avoir horodaté la signature pour prouver qu'elle a été effectuée avant qu'on craque RSA.


Je suis en revanche un peu déçu qu'il ne parle pas de la signature manuscrite. Est-ce plus sûr ?
Je prend l'exemple de documents signés par tampon, les documents de plusieurs pages, la contrefaçon de signature, la possibilité de recopie de signature (?).
La signature numérique a au moins l'avantage de "garantir" le contenu du contrat et de ne pas pouvoir être "recopiée" ou contre-faite sans récupérer la clé privée.

Je veux bien reconnaître que la signature numérique ai quelques limites, mais qu'en est-il par rapport à ses alternatives ?
Je pense qu'un comparatif aurait pu être intéressant.


Sinon, quant à l'aspect législatif, y a-t-il déjà eu des jugements sur des contestations de signatures numériques ?


J'ai voulu regarder les sources par curiosité et pour éventuellement répondre à mes questions.

Comments on the new federal digital signature law:
<http://www4.zdnet.com:80/intweek/stories/news/...> (multipage, don't miss the others) <http://www4.zdnet.com:80/intweek/stories/news/...>
<http://www.infoworld.com:80/articles/hn/xml/00/10/...> <http://www.pioneerplanet.com/tech/tcv_docs/028992.htm>
A survey of laws in various states and countries:
<http://rechten.kub.nl/simone/DS-LAWSU.HTM>

Tous les liens sont morts


Mais bonne traduction, merci de nous faire découvrir cet article très intéressant et bon courage pour la suite

[Vadrygar]

Pour info, le terme "Back orifice" est un véritable terme ou une coquille qui s'est installé là ?

[tentos]

Bonjour,

cet article est une traduction de Image non disponibleWhy Digital Signatures Are Not Signatures de Bruce Schneier.

Cet article date de November 15, 2000.
Est-il toujours pertinent ?

[Angelsafrania]

Bonjour,
Parlons des virus et gardons le même type d'argument. Du coup si un malfrat rentre chez Alice, lui met un flingue sur la tempe et lui demande de signer un document. Il faudra que Alice prouve devant un tribunal qu'elle avait un flingue sur la tempe, et là pareil ce sera sa parole contre celle du malfrat.
Parlons maintenant des faussaires, le faussaire a accès à la signature de Alice (par exemple il lui a volé sa carte bleu, que Alice avait bien entendu signée au dos), du coup il peut signer un document avec la même signature qu'Alice, et sans que Alice n'est jamais vu le document, encore il faudra que Alice prouve que ce n'est pas elle qui a signé, et ce sera sa parole contre celle du faussaire.

Dans l'article :

À quelques exceptions près, vous ne pouvez pas produire un document signé au tribunal et affirmer qu'Alice l'a signé. Vous devez obtenir qu'Alice témoigne qu'elle a signé, ou recourir à des expertises, et puis c'est votre parole contre la sienne. C'est pourquoi les signatures notariées sont utilisées dans de nombreuses circonstances.

Donc en gros généralement les signatures notariées doivent être faites pour des choses importante (comme la vente d'une maison). Pour des petites choses un chèque on va rarement devant un tribunal.
Donc pour moi une signature est un élément non reproductible (ou avec une grande difficulté) apposé sur le document devant un tiers de confiance (le notaire).
C'est les notaires qui sont contant

[Jipété]

Pour info, le terme "Back orifice" est un véritable terme ou une coquille qui s'est installé là ?

Terme véritable, bien connu il y a une quinzaine d'années...

[benjani13]

Bonjour,

Le programme décrypte la clé privée avec le mot de passe

Déchiffre.

Décrypter ne veut rien dire en français.

Même si ici c'est bien déchiffrer qu'il faudrait employer, décrypter existe bien en français.
Déchiffrer : décoder un message en connaissant la clé de chiffrement
Décrypter : décoder un message sans connaitre la clé de chiffrement

C'est "crypter" qui n'existe pas.

[Neckara]

Même si ici c'est bien déchiffrer qu'il faudrait employer, décrypter existe bien en français.

[…]

C'est "crypter" qui n'existe pas.

Mea culpa. Pas très réveille ce matin .

J'ai tiqué sur le "décrypté" et à force de répéter et rerépéter que "crypter" ne veut rien dire, je pense que je me suis fait une petite confusion par réflexe.

[Namica]

Dans l'article :

Donc en gros généralement les signatures notariées doivent être faites pour des choses importante (comme la vente d'une maison). Pour des petites choses un chèque on va rarement devant un tribunal.
Donc pour moi une signature est un élément non reproductible (ou avec une grande difficulté) apposé sur le document devant un tiers de confiance (le notaire).
C'est les notaires qui sont contant

Et autres commentaires (que je ne vais pas remettre en citation) dont certains sont assez pertinents.

L'article est ancien, effectivement, mais a-t-il perdu de la valeur ?
En substance, le message est le suivant : Il faut avoir une sacrée p... de confiance dans le système (signataire/logiciel/matériel/tiers de confiance) pour accorder une foi aveugle à une signature électronique.

Et en effet, de quelle obscurité certaines offres de prestataires ne sont-elle pas entourée ? Combien utilisent encore du RSA 1024 bits et du SHA-1 ?
Et combien ne gardent-ils pas copie de la clé secrète pour "mieux servir" leurs clients ?

Le problème est que les législateurs avancent :

http://eur-lex.europa.eu/legal-conte...LEX:32014R0910

RÈGLEMENT (UE) No 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE


SECTION 4

Signatures électroniques

Article 25

Effets juridiques des signatures électroniques

1. L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée.

2. L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite.

3. Une signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature électronique qualifiée dans tous les autres États membres.

Article 26

Exigences relatives à une signature électronique avancée

Une signature électronique avancée satisfait aux exigences suivantes:

a) être liée au signataire de manière univoque;

b) permettre d’identifier le signataire;

c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et

d) être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

Il s'agit d'un règlement, il s'impose donc face à nos législations nationales.
Je compte proposer un commentaire plus élaboré de ce règlement européen. Un peu de patience, merci.

[Namica]

@Neckara et Benjani13
Vous avez tout à fait raison.

Notes linguistiques :
La tendance actuelle favorise les termes construits avec crypt-. Plusieurs ouvrages terminologiques récents privilégient cryptage au lieu de chiffrement, terme utilisé depuis longtemps pour désigner cette notion. L'opération inverse du chiffrement s'appelle déchiffrement et suppose que l'on possède la clé. Le terme décryptage est réservé pour désigner l'opération qui consiste à casser l'algorithme (le procédé de calcul) sans en avoir la clé.
Le terme chiffrage fait double emploi avec chiffrement et risque de créer de la confusion, puisqu'il désigne notamment l'action d'évaluer en chiffres, par des calculs (ex. : chiffrage de la sinistralité informatique).
Le terme encryptage, moins attesté, ne vient qu'ajouter à la confusion et, pour cette raison, n'a pas été retenu comme synonyme de chiffrement.
Les termes chiffrement et codage ne sont pas équivalents. Alors que le chiffrement utilise un algorithme, le codage se fait à partir d'un dictionnaire de codes.
Le terme encryption n'existe pas en français.
Le terme brouillage ne doit pas être confondu avec chiffrement, dont il n'a aucunement le sens. Il désigne en effet, non pas la substitution d'un texte chiffré à un texte en clair, mais bien la perturbation produite sur une ligne de transmission, afin de rendre la voix ou les données transmises inintelligibles. On évitera donc d'employer le terme brouillage (intentionnel) à la place de chiffrement.
On rencontre parfois l'expression chiffrement réversible pour désigner le chiffrement. Ce terme, qui semble redondant, désigne toutefois une notion très précise et n'est utilisé que si, dans certains contextes, on doit faire la distinction entre ce type de chiffrement et le chiffrement irréversible. Autrement, le terme chiffrement suffit.

Source: http://www.oqlf.gouv.qc.ca/ressource...iffrement.html

[sinople]

Je veux bien reconnaître que la signature numérique ai quelques limites, mais qu'en est-il par rapport à ses alternatives ?

C'est le point le plus pertinent du débat concernant l'article.

Si connaître les limitations du concept est une bonne chose, il est nécessaire de les mettre à côté du concept qu'il est amené à remplacer afin de savoir s'il apporte de la valeur ajoutée ou si c'est une idée à la c**.

Bref, l'article permet de dire qu'on peut mieux faire (merci captain obvious....) sans proposer d'amélioration.

[ON5MJ]

"Acte de foi" aurait été préférable à l'expression "article de foi"