Qu’est-ce qu’une signature numérique ?
Reposant sur la technologie d’infrastructure à clés publiques (PKI, Public Key Infrastructure), une signature numérique relie cryptographiquement un certificat de signature numérique, émis par un prestataire de services de confiance (PSC), à un document. Elle intervient sur deux plans : d’un côté, elle valide et authentifie l’identité du signataire ; de l’autre, elle assure l’intégrité du document. Elle garantit ainsi que le signataire est bien celui qu’il prétend être et que le document n’a pas été modifié. Les signatures numériques sont idéales pour les transactions nécessitant une sécurité renforcée. En pratique, elles sont requises dans les pays et régions où les entreprises sont soumises à des réglementations spécifiques telles que le règlement eIDAS dans l’Union européenne et la loi ZertES en Suisse. Selon les pays, certains types de signatures numériques ont la même valeur juridique que les signatures manuscrites.
DigiCert® Document Trust Manager fournit des signatures numériques sécurisées et fiables, conformes au règlement eIDAS de l’UE, à la loi suisse ZertES et à d’autres législations internationales relatives aux signatures. En savoir plus sur les réglementations nationales.
Comment fonctionne une signature numérique ?
Une signature numérique repose sur diverses couches de sécurité et de gouvernance. Tout commence par l’application d’un algorithme mathématique ou d’une fonction de hachage et d’un horodatage sur l’intégralité d’un document ou d’un message. Cette première étape permet de générer la signature, qui est ensuite chiffrée à l’aide de la cryptographie à clé publique – c’est-à-dire en utilisant une paire de clés privée et publique pour le chiffrement et le déchiffrement. Concrètement, le signataire chiffre le hash avec sa clé privée, tandis que le destinataire le déchiffre avec la clé publique du signataire. Dans les faits, l’infrastructure à clés publiques (PKI) est une méthode très répandue pour sécuriser les transactions et les communications sur Internet. Dans le cas des signatures numériques, elle régit divers éléments : sécurité et distribution des clés, validation de l’identité ou authentification du signataire, tiers (autorités de certification) qui assurent l’authentification et niveau de confiance attribué aux signatures.
Pourquoi ai-je besoin d’un certificat pour une signature numérique ?
Un certificat est émis par un prestataire de services de confiance (PSC) et/ou une autorité de certification telle que DigiCert. En pratique, non seulement il facilite l’authentification d’identité et le chiffrement, mais il garantit aussi des communications sécurisées entre deux entités. Il se compose d’un document électronique qui relie les données du signataire ainsi que la validation de la signature à l’identification sans équivoque d’une personne physique ou d’une organisation.
Il existe deux types principaux de certificats pour les signatures numériques : les certificats AATL (Adobe Approved Trust List) et les certificats qualifiés. Leur principale différence tient à l’entité certifiée pour délivrer le certificat. Les prestataires de services de confiance approuvés par Adobe émettent des certificats AATL, alors que seuls les prestataires de services de confiance qualifiés (PSCQ) sont autorisés à émettre des certificats qualifiés. Autre facteur de différenciation, les PSC ne sont pas obligés de se soumettre à un audit indépendant et ne figurent pas sur la liste EUTL (EU Trust List), tandis que les PSCQ sont contrôlés par un organe de surveillance défini par le pays qui fournit l’accréditation. Les PSCQ peuvent également fournir les services de confiance suivants :
- signatures électroniques
- cachets électroniques
- horodatages électroniques
- services d’envoi recommandé électronique (ERDS)
- certificats d’authentification web (sites web)
