Discussion :

[sneb5757]

bonjour

Je vous explique mon probleme.
Je n ai pas de code a poster c est un problème de conception on va dire mais je ne sais pas sur quel forum poster(j ai regarder sur conception web mais il ne semble pas approprié).Comme j'utilise le PHP je poste ici quand meme en esperant que quelqu un me redirigera si je me suis trompé.

Je travaille sur une application intranet qui a pour but de signer des documents en ligne. Et il faut que je simule la présence d'une carte électronique avec une clé usb. J'utilise la biblio openSSL pour la gestion de signatures et de certificats et je n' ai aucun souci avec ça.C'est plutot la simulation de la carte qui me pose probleme.

Voici le scenario

-le signataire utilisateur clique sur signer le document
-une page s'ouvre et l'utilisateur a 30 secondes pour entrer la clé usb
-Si la cle est entrée dans les 30 secondes le programme recherche le fichier de clé privé.Sur la clé j ai mis un dossier appelé carte.Le logiciel balaie tous les lecteur possible. Cest a dire il vait a:\carte,s'il ne trouve pas il fait b:\carte Etc...
-si le dossier est trouvé le logiciel va chercher un fichier pem contenant la clé privé de l'utilisateur
-si le fichier est trouvé il signe le document avec cette clé privé.


J'ai travaillé en local sur mon pc et ça fonctionne impeccable.Mais je suis plutot débutant on va dire et j'ai pas pensé que la mise en réseau poserai problème.Quand je testai sur mon pc il etait a la fois client et serveur donc il pouvait faire cette détection. Mais j'ai betement oublié que par sécurité le PHP ne pouvait pas faire de telles recherches sur le poste client.

J'ai trouvé une solution de secours mais je voulais avoir des avis si ça peut être mis en place ou pas.J'ai pas envi d'essayer de la mettre en place et me rendre compte que ça peut pas marcher.De plus mon stage fini dans deux semaines.

Ce que je voulais c est faire en sorte que le client vérifie lui même la présence de carte et envoie les informations nécéssaires au serveur via socket par exemple.

le scénario auquel je pense:

-le serveur se met en attente de carte et invite l'utilisateur a ouvrir l'application qui se charge de l'insertion de carte
-l'utilisateur ouvre le logiciel client
-le logiciel client demande l'insertion de la clé usb(qui simule la carte pour rappel)
->si la clé est insérée
->recherche les infromations nécéssaires et les envoie au serveur
->sinon
->envoie un signal au serveur pour lui indiquer que la clé usb n a
pas été insérée
-le logiciel serveur reçoit les info
->si le serveur reçoit un signal de non insertion de clé usb le serveur prévient le client
par simple affichage sur la page web
->si le serveur reçoit la clé privé il peut signer le document

Je voulais juste savoir ce que vous pensiez de mon idée et si elle etait réalisable en PHP et si ce genre d'envoie vers le serveur ne posait aucun problème.

merci d'avance

[koopajah]

Je ne suis pas sur d'avoir tout compris, mais je ne pense pas que transmettre la clé privée de l'utilisateur sur le réseau soit quelquechose de très sécurisé ni quelquechose qui les enchante (le but d'une clé privée est de rester privée). Donc si tu cherches à ce que ce soit le serveur signe le document avec la clé de l'utilisateur je pense que ca risque de poser des problèmes.

[sneb5757]

éffectivement mais je crois que je peux crypter cette clé à sa création la n'est pas le problème pour l'instant(mais bonne remarque).Mon problème est est ce que faire un tel client-serveur ne me posera pas de souci?
Ce que je peux faire aussi comme le document a signé se trouve sur le poste client je fais en sorte que le client signe le document et envoie la signature crypté au serveur?

Dans tous les cas il faut que le serveur reçoive la signature