Discussion :

[Eleyone]

Bonjour,

Dans le cadre d'une application "légale" ( entendre par la pour des collectivité territorial ), j'ai besoin de signé des documents électroniquement. Chose que je fais déjà à l'aide de la librairie BouncyCastle.

Hors voila, il faudrait aussi que je co-signe les documents, et c'est la que le bas blesse. Je ne sait pas trop comment m'y prendre... je m'explique...

A l'heure actuel, je fais une signature détaché du documents. cette signature, et le documents auquel elle est rattaché, vont être transmis au cosignataire afin qu'il signe lui aussi le document. La question est donc, est-ce que je fais deux fichiers de signature qui sont renommé en nomFichier.1.p7s et nomFichier.2.p7s ou puis je tous mettre dans un seul fichier de signature nomFichier.p7s ( a noté que la signature est au format PKCS#7) sachant qu'il faux que la co-signature soit légal au yeux de la loi.

Merci.

[Invité]

Salut,
PKCS#7 est un objet enveloppant un message signé et/ou crypté. Un objet PKCS#7 (un fichier p7s) contient ET le message ET la signature ET (éventuellement) le certificat avec la clef publique qui permet de vérifier la signature.
Point de vue légal je ne sais pas ce qui est reconnu, mais ceci doit l'être et se pose en "standard" pour envoyer des données signées et/ou cryptées (application très répandues : emails)
Je pense que la légacité de la chose tient dans le certificat, qui fait le lien entre la signature et la personne ayant signé.

EDIT : je voudrais aussi ajouter, le format PKCS#7 n'est qu'un container, il ne fait en soit aucune action cryptographique, il rassemble ensemble les données et les informations nécessaires pour les vérifier. Les algorithmes servant à générer ces informations sont indépendants du format (RSA, Rijndael, ...). Si une signature électronique via RSA, Rijndael est légale, la mettre avec les données dans un objet PKCS#7 doit l'être car ce n'est qu'un moyen de transport de la signature avec les données. Je ne sais pas si j'ai répondu à tes interrogations mais si tu as d'autres questions/doutes, hésite pas

[Eleyone]

Merci pour ta réponse rapide...

Pour ce qui est du format PKCS#7, on est pas obligé d'avoir l'intégralité du document contenu dans le container PKCS#7. La signature est, en réalité, le cryptage par la clef privée du signataire ( contenu dans sont certificat ) de l'empreinte ( comprendre hash MD5/SHA1 ) du documents. Cependant on est obligé d'avoir le document original lorsque l'on veut vérifier la signature, comme je le fais actuellement.

D'autant plus que pour le peu que j'ai pu trouver, il semblerait que, dans toutes les applis, les signatures sont attachés au documents. Chose que je ne peu pas faire pour des raisons d'ergonomie.

En faite, ma question était plus une question de "bonne pratique" sur comment vous faites pour gérer la co-signature ? Et, existe il une norme la régissant... ? ( chose que je n'est pas trouvé... ).

[Invité]

Tu n'est pas obligé mais tu peux avoir le message, ce qui me semble être ce que tu recherches. Toutes les informations sont à ta disposition dans cet objet et c'est plus ou moins un standard (de fait) même si à ma connaissance il n'en existe aucun en la matière, mais ce qui sort de RSA Laboratories tend à être considéré en standard, regarde ici : http://www.rsa.com/rsalabs/node.asp?id=2129