IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Pourquoi les signatures numériques ne sont pas des signatures


Sujet :

Sécurité

  1. #1
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    Novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : Novembre 2004
    Messages : 389
    Points : 1 595
    Points
    1 595
    Par défaut Pourquoi les signatures numériques ne sont pas des signatures
    Bonjour,

    Je vous présente la traduction d'un article déjà ancien de Bruce Schneier.
    Pourquoi les signatures numériques ne sont pas des signatures

  2. #2
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    10 933
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : Juillet 2006
    Messages : 10 933
    Points : 15 380
    Points
    15 380
    Par défaut
    Salut,

    Intéressant, mais malgré le traducteur, le relecteur et le correcteur, cette phrase (dernier paragraphe) est passée au travers :
    Les signatures numériques prouvent mathématiquement qu'une valeur secrète connue sous le nom de la clé privée était présente dans un ordinateur au moment ou la signature d'Alice a été calculée.
    En bon français, ça devrait être : Les signatures numériques prouvent mathématiquement qu'une valeur secrète connue sous le nom de clé privée était présente dans un ordinateur au moment la signature d'Alice a été calculée.

    Bonne correction,

  3. #3
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    Novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : Novembre 2004
    Messages : 389
    Points : 1 595
    Points
    1 595
    Par défaut
    Citation Envoyé par Jipété Voir le message
    ...
    Bonne correction,
    ...
    Correction faite.
    Merci pour votre regard attentif.

  4. #4
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2007
    Messages
    241
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Avril 2007
    Messages : 241
    Points : 272
    Points
    272
    Par défaut
    Bonjour,

    L'agumentaire de ce monsieur me parait un peu court "et si un virus ..", de plus si c'est l'ordinateur qui signe et pas vraiment Alice alors on peut dire que Alice n'a pas signé. Mouais ...

    Parlons des virus et gardons le même type d'argument. Du coup si un malfrat rentre chez Alice, lui met un flingue sur la tempe et lui demande de signer un document. Il faudra que Alice prouve devant un tribunal qu'elle avait un flingue sur la tempe, et là pareil ce sera sa parole contre celle du malfrat.
    Parlons maintenant des faussaires, le faussaire a accès à la signature de Alice (par exemple il lui a volé sa carte bleu, que Alice avait bien entendu signée au dos), du coup il peut signer un document avec la même signature qu'Alice, et sans que Alice n'est jamais vu le document, encore il faudra que Alice prouve que ce n'est pas elle qui a signé, et ce sera sa parole contre celle du faussaire.

    En résumé, si on reprend l'article proposé ici: Un signature n'est pas une signature. (et on vit dans un monde de merde)

  5. #5
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 136
    Points
    23 136
    Par défaut
    Bonjour,

    Le programme décrypte la clé privée avec le mot de passe
    Déchiffre.

    Décrypter ne veut rien dire en français. Edit : mea culpa, pas très réveillé ce matin moi, cf posts suivants.


    Sinon l'article est en effet intéressant.
    Il y a aussi le fait que la sécurité d'une signature ne dure que jusqu'à ce que l'algorithme ne soit craqué. Si un jour on craque RSA, c'est toute les signatures RSA qui ne vaudront plus rien. À moins bien évidement d'avoir horodaté la signature pour prouver qu'elle a été effectuée avant qu'on craque RSA.


    Je suis en revanche un peu déçu qu'il ne parle pas de la signature manuscrite. Est-ce plus sûr ?
    Je prend l'exemple de documents signés par tampon, les documents de plusieurs pages, la contrefaçon de signature, la possibilité de recopie de signature (?).
    La signature numérique a au moins l'avantage de "garantir" le contenu du contrat et de ne pas pouvoir être "recopiée" ou contre-faite sans récupérer la clé privée.

    Je veux bien reconnaître que la signature numérique ai quelques limites, mais qu'en est-il par rapport à ses alternatives ?
    Je pense qu'un comparatif aurait pu être intéressant.


    Sinon, quant à l'aspect législatif, y a-t-il déjà eu des jugements sur des contestations de signatures numériques ?


    J'ai voulu regarder les sources par curiosité et pour éventuellement répondre à mes questions.
    Tous les liens sont morts


    Mais bonne traduction, merci de nous faire découvrir cet article très intéressant et bon courage pour la suite

  6. #6
    Membre habitué
    Profil pro
    Développeur Web
    Inscrit en
    Novembre 2010
    Messages
    31
    Détails du profil
    Informations personnelles :
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Novembre 2010
    Messages : 31
    Points : 152
    Points
    152
    Par défaut
    Pour info, le terme "Back orifice" est un véritable terme ou une coquille qui s'est installé là ?

  7. #7
    Membre du Club
    Inscrit en
    Juillet 2006
    Messages
    47
    Détails du profil
    Informations forums :
    Inscription : Juillet 2006
    Messages : 47
    Points : 46
    Points
    46
    Par défaut
    Bonjour,

    cet article est une traduction de Image non disponibleWhy Digital Signatures Are Not Signatures de Bruce Schneier.
    Cet article date de November 15, 2000.
    Est-il toujours pertinent ?

  8. #8
    Membre éclairé

    Homme Profil pro
    Développeur Java
    Inscrit en
    Février 2007
    Messages
    179
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2007
    Messages : 179
    Points : 653
    Points
    653
    Par défaut
    Citation Envoyé par psylox Voir le message
    Bonjour,
    Parlons des virus et gardons le même type d'argument. Du coup si un malfrat rentre chez Alice, lui met un flingue sur la tempe et lui demande de signer un document. Il faudra que Alice prouve devant un tribunal qu'elle avait un flingue sur la tempe, et là pareil ce sera sa parole contre celle du malfrat.
    Parlons maintenant des faussaires, le faussaire a accès à la signature de Alice (par exemple il lui a volé sa carte bleu, que Alice avait bien entendu signée au dos), du coup il peut signer un document avec la même signature qu'Alice, et sans que Alice n'est jamais vu le document, encore il faudra que Alice prouve que ce n'est pas elle qui a signé, et ce sera sa parole contre celle du faussaire.
    Dans l'article :
    À quelques exceptions près, vous ne pouvez pas produire un document signé au tribunal et affirmer qu'Alice l'a signé. Vous devez obtenir qu'Alice témoigne qu'elle a signé, ou recourir à des expertises, et puis c'est votre parole contre la sienne. C'est pourquoi les signatures notariées sont utilisées dans de nombreuses circonstances.
    Donc en gros généralement les signatures notariées doivent être faites pour des choses importante (comme la vente d'une maison). Pour des petites choses un chèque on va rarement devant un tribunal.
    Donc pour moi une signature est un élément non reproductible (ou avec une grande difficulté) apposé sur le document devant un tiers de confiance (le notaire).
    C'est les notaires qui sont contant

  9. #9
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    10 933
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : Juillet 2006
    Messages : 10 933
    Points : 15 380
    Points
    15 380
    Par défaut
    Citation Envoyé par Vadrygar Voir le message
    Pour info, le terme "Back orifice" est un véritable terme ou une coquille qui s'est installé là ?
    Terme véritable, bien connu il y a une quinzaine d'années...

  10. #10
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Bonjour,

    Le programme décrypte la clé privée avec le mot de passe
    Déchiffre.

    Décrypter ne veut rien dire en français.
    Même si ici c'est bien déchiffrer qu'il faudrait employer, décrypter existe bien en français.
    Déchiffrer : décoder un message en connaissant la clé de chiffrement
    Décrypter : décoder un message sans connaitre la clé de chiffrement

    C'est "crypter" qui n'existe pas.

  11. #11
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 136
    Points
    23 136
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Même si ici c'est bien déchiffrer qu'il faudrait employer, décrypter existe bien en français.

    […]

    C'est "crypter" qui n'existe pas.
    Mea culpa. Pas très réveille ce matin .

    J'ai tiqué sur le "décrypté" et à force de répéter et rerépéter que "crypter" ne veut rien dire, je pense que je me suis fait une petite confusion par réflexe.

  12. #12
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    Novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : Novembre 2004
    Messages : 389
    Points : 1 595
    Points
    1 595
    Par défaut
    Citation Envoyé par Angelsafrania Voir le message
    Dans l'article :

    Donc en gros généralement les signatures notariées doivent être faites pour des choses importante (comme la vente d'une maison). Pour des petites choses un chèque on va rarement devant un tribunal.
    Donc pour moi une signature est un élément non reproductible (ou avec une grande difficulté) apposé sur le document devant un tiers de confiance (le notaire).
    C'est les notaires qui sont contant
    Et autres commentaires (que je ne vais pas remettre en citation) dont certains sont assez pertinents.

    L'article est ancien, effectivement, mais a-t-il perdu de la valeur ?
    En substance, le message est le suivant : Il faut avoir une sacrée p... de confiance dans le système (signataire/logiciel/matériel/tiers de confiance) pour accorder une foi aveugle à une signature électronique.

    Et en effet, de quelle obscurité certaines offres de prestataires ne sont-elle pas entourée ? Combien utilisent encore du RSA 1024 bits et du SHA-1 ?
    Et combien ne gardent-ils pas copie de la clé secrète pour "mieux servir" leurs clients ?

    Le problème est que les législateurs avancent :
    http://eur-lex.europa.eu/legal-conte...LEX:32014R0910

    RÈGLEMENT (UE) No 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE


    SECTION 4

    Signatures électroniques

    Article 25

    Effets juridiques des signatures électroniques

    1. L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée.

    2. L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite.

    3. Une signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature électronique qualifiée dans tous les autres États membres.

    Article 26

    Exigences relatives à une signature électronique avancée

    Une signature électronique avancée satisfait aux exigences suivantes:

    a) être liée au signataire de manière univoque;

    b) permettre d’identifier le signataire;

    c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et

    d) être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
    Il s'agit d'un règlement, il s'impose donc face à nos législations nationales.
    Je compte proposer un commentaire plus élaboré de ce règlement européen. Un peu de patience, merci.

  13. #13
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    Novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : Novembre 2004
    Messages : 389
    Points : 1 595
    Points
    1 595
    Par défaut
    @Neckara et Benjani13
    Vous avez tout à fait raison.
    Notes linguistiques :
    La tendance actuelle favorise les termes construits avec crypt-. Plusieurs ouvrages terminologiques récents privilégient cryptage au lieu de chiffrement, terme utilisé depuis longtemps pour désigner cette notion. L'opération inverse du chiffrement s'appelle déchiffrement et suppose que l'on possède la clé. Le terme décryptage est réservé pour désigner l'opération qui consiste à casser l'algorithme (le procédé de calcul) sans en avoir la clé.
    Le terme chiffrage fait double emploi avec chiffrement et risque de créer de la confusion, puisqu'il désigne notamment l'action d'évaluer en chiffres, par des calculs (ex. : chiffrage de la sinistralité informatique).
    Le terme encryptage, moins attesté, ne vient qu'ajouter à la confusion et, pour cette raison, n'a pas été retenu comme synonyme de chiffrement.
    Les termes chiffrement et codage ne sont pas équivalents. Alors que le chiffrement utilise un algorithme, le codage se fait à partir d'un dictionnaire de codes.
    Le terme encryption n'existe pas en français.
    Le terme brouillage ne doit pas être confondu avec chiffrement, dont il n'a aucunement le sens. Il désigne en effet, non pas la substitution d'un texte chiffré à un texte en clair, mais bien la perturbation produite sur une ligne de transmission, afin de rendre la voix ou les données transmises inintelligibles. On évitera donc d'employer le terme brouillage (intentionnel) à la place de chiffrement.
    On rencontre parfois l'expression chiffrement réversible pour désigner le chiffrement. Ce terme, qui semble redondant, désigne toutefois une notion très précise et n'est utilisé que si, dans certains contextes, on doit faire la distinction entre ce type de chiffrement et le chiffrement irréversible. Autrement, le terme chiffrement suffit.
    Source: http://www.oqlf.gouv.qc.ca/ressource...iffrement.html

  14. #14
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2009
    Messages
    1 048
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2009
    Messages : 1 048
    Points : 2 201
    Points
    2 201
    Par défaut
    Je veux bien reconnaître que la signature numérique ai quelques limites, mais qu'en est-il par rapport à ses alternatives ?
    C'est le point le plus pertinent du débat concernant l'article.

    Si connaître les limitations du concept est une bonne chose, il est nécessaire de les mettre à côté du concept qu'il est amené à remplacer afin de savoir s'il apporte de la valeur ajoutée ou si c'est une idée à la c**.

    Bref, l'article permet de dire qu'on peut mieux faire (merci captain obvious....) sans proposer d'amélioration.

  15. #15
    Membre régulier
    Profil pro
    Ingénieur
    Inscrit en
    Mai 2005
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : Philippines

    Informations professionnelles :
    Activité : Ingénieur

    Informations forums :
    Inscription : Mai 2005
    Messages : 41
    Points : 85
    Points
    85
    Par défaut
    "Acte de foi" aurait été préférable à l'expression "article de foi"

Discussions similaires

  1. Réponses: 4
    Dernier message: 18/04/2011, 10h39
  2. [Qt Designer] Les widgets de QtDesigner ne sont pas des widgets ?
    Par contremaitre dans le forum Outils
    Réponses: 1
    Dernier message: 28/12/2010, 23h19

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo