Après un lent démarrage après la Directive de 1999, la signature électronique décolle enfin en Europe. A l’intersection des aspects légaux, techniques et institutionnels, ce domaine présente de nombreux challenges qui ont dû être surmontés pour que les acteurs européens puissent bénéficier de ses avantages. La présentation va se focaliser sur le framework SD-DSS et le logiciel compagnon NexU, deux outils open-source qui facilitent l’adoption de ces technologies en prenant en charge les aspects techniques complexes de la signature avancée, de la confiance et de l’accès aux smartcards.

1. Open-source
Tools for
eSignature
Electronic Signature
DSS
NexU

2. Qui sommes-nous ?
David
https://lu.linkedin.com/in/naramski
Pierrick
https://lu.linkedin.com/in/pvandenbr
oucke
16 / 02 / 20162

3. Cryptographie
• Clé symétrique (Blowfish, DES, AES, …)
• Clés asymétriques (RSA, DSA, ECDSA, …)
• Hashage (SHA-1, SHA-256, SHA-512, …)
• Signature
16 / 02 / 20163

4. Chiffrement par clé symétrique
16 / 02 / 20164

5. Chiffrement par clés asymétriques
Publique
Privée
16 / 02 / 20165

6. Signature
• Combinaison d’un hashage et d’un chiffrement
• Signature
• Hashage des données à signer
• Chiffrement du hash avec la clé privée
• Vérification
• Déchiffrement de la signature avec la clé publique
• Hashage des données signées
• Comparaison du hash calculé avec le hash déchiffré
16 / 02 / 20166

7. Aspects légaux
Signature (électronique)
• Intégrité
• Intention
• Identité
16 / 02 / 20167

8. Public Key Infrastructure
16 / 02 / 20168
CA
Certificate
CRL
OCSP
server
SSCD

9. Force légale de signature
• Signature électronique
• Signature électronique avancée
• Signature électronique avancée basée sur un certificat
qualifié
16 / 02 / 20169

10. Qualified
• CA issuing Qualified Certificate
• vérifie identité
• maintient données de révocation
• fourni une assurance pour les utilisateurs
• audité
• Signature qualifiée != Certificat qualifié
Renversement de la preuve
16 / 02 / 201610

11. Certificate policy
En théorie
• Trust the company
• Trust the user
En pratique
• Dépend de la “Certificate
Policy”
16 / 02 / 201611

12. From another vendor
OK ??
16 / 02 / 201612

13. Single market
16 / 02 / 201613

14. Trusted List
16 / 02 / 201614

15. Official Journal
16 / 02 / 201615

16. Chain of Trust
• Certificate
• Issuer
• Root Issuer
• National Trusted List
• European Trusted List
• Official Journal
16 / 02 / 201616

17. Interoperability de la confiance
OK
OK
16 / 02 / 201617

18. Format de signature avancée
• Améliore l’interopérabilité
• Enrichit les signatures
• Nouveaux attributs signés / non-signés
• Standards internationaux
16 / 02 / 201618

19. Advanced Electronic Signatures
16 / 02 / 201619
CAdES (CMS)
Enveloping, Detached
EN 319 122
XAdES (XML)
Enveloped, Enveloping, Detached
EN 319 132
PAdES (PDF)
Enveloped
EN 319 142
ASiC (container)
Detached
EN 319 162
Validation
EN 319 102

20. Baseline Profile LTA
Baseline Profile LT (Long Term)
Baseline Profile T
Niveaux de signatures
16 / 02 / 201620
Baseline Profile B (Basic)
Original
file
Signed
attributes
Signature
Timestamp
Revocation
Data
Archive
Timestamp

21. Validation d’une signature
• Document signé + timestamps
• Certificate
• Signé par issuer
• Révocation OCSP
• Signée par OCSP Server
• Signé par issuer
• Issuer
• Signé par root issuer
• Révocation CRL
• Signée par Root Issuer
• Root Issuer
• Trusté par national TL
• National Trusted List
• Signé par LTO
• European Trusted List
• Signé par LOTL SO
1 document signé
• 9 certificats
• 11 validations de signatures
• Validation de format
• Validation de policy
Environ 70 éléments de validations
pour un document signé.
16 / 02 / 201621

22. 16 / 02 / 201622
DSS
NexU

23. DSS – Digital Signature Service
• Projet open-source financé par la Commission
Européenne
• Signature / extension / validation de signatures avancées
(CAdES, XAdES, PAdES, ASiC)
• Web services SOAP / REST pour la signature / extension
et la validation
• Support MSCAPI, PKCS#11, PKCS#12
• Validation configurable au moyen d'une policy
• Prise en charge de la LOTL / TL
• Testé et validé avec des experts de l'ETSI et lors de tests
internationaux (PlugTests)
16 / 02 / 201623

24. 3 state-less steps
Get data to sign
Sign the digest
Sign document
16 / 02 / 201624
DSS Server Client side

25. NexU : signature in the browser
• Fin du support de NPAPI (Java applet)
• Projet open-source
• Permet de communiquer avec les SSCD sans utiliser Java
dans le browser
• Agent installé sur le poste du client
16 / 02 / 201625

26. NexU
16 / 02 / 201626

27. Contrat de travail chez Nowina
16 / 02 / 201627
Signature
Signature Validation
Extension

28. DEMO
16 / 02 / 201628

29. Questions à se poser avant
• Type de signature
• Validation adaptée au risqué
• Préservation
• Fallback si pas de SSCD
16 / 02 / 201629
Légal
Métier
Technique

30. Archivage
16 / 02 / 201630
DOCUMENT LIFE TIME 30 years
SIGNATURE
TIMESTAMP
TIMESTAMP
TIMESTAMP

31. DSS en quelques liens
• Joinup : http://joinup.ec.europa.eu/asset/sd-
dss/description
• Démo : http://dss.nowina.lu/
• GitHub : https://github.com/esig/dss
• BugTracker : https://esig-dss.atlassian.net
16 / 02 / 201631

32. NexU en quelques liens
• Détails : http://nowina.lu/news/nexu/
• Démo : http://lab.nowina.solutions/nexu-demo/
• GitHub : https://github.com/nowina-solutions/nexu
• BugTracker : https://nowina.atlassian.net/
16 / 02 / 201632

33. Q / A
• Merci pour votre attention !
• Pour en savoir plus :
• http://www.nowina.lu/
16 / 02 / 201633