- Ce sujet est vide.
-
Sujet
-
Bonjour,
Encore une question sur la signature numérique.
je sais créer un certificat d’ID numérique.
Je sais créer un champ de signature dans un formulaire.
Ma question est lorsqu’on adresse un formulaire à quelqu’un, comment être sur que la signature numérique apposée dans ce champs est bien celle de la bonne personne ?
Imaginons que la princesse Leia adresse les plans du X-wing à Obi-one Kenobi, pour validation.
Dark Vador intercepte le mail de la princesse Leia. Il se créé un certificat d’ID numérique au nom d’Obi-one Kenobi, préconise des mauvaises modifications sur les plans du X-wing et signe le document avec l’ID d’Obi-one qu’il a mal intentionellement créé.
Comment la princesse Leia peut savoir si le document a bien été signé par Obi-one, et est ce qu’elle peut détecter que la signature qu’elle a à l’écran est un faux ?
via les identités approuvées (le certificat d’échange) ?
-
Réponses
-
Préalablement à cet échange, Leia et Obi-One se sont échangés leurs certificats d’échange numérique qui contiennent plein de données cryptées, uniques et fortement sécurisées, ce qui les rend infalsifiables.
Le logiciel ne se laissera pas berner par la grossière ruse de Dark Vador car ce n’est pas le nom du certificat qui l’intéresse, mais bien les données en question.
Et la puissance de la Force ne sera d’aucune aide à Dark Vador pour deviner ces données et les retranscrire dans un fichier capable de berner Acrobat, ou Reader.Leia est certaine que seul Obi-Wan peut être l’auteur des modifications car elle a eu préalablement besoin du certificat d’échange d’Obi-Wan pour crypter le fichier PDF à son attention.
De son coté Obi-Wan à besoin de son certificat d’ID numérique plus son mot de passe à lui pour pouvoir ouvrir le fichier.Donc pour répondre à la 1e question : la première fois qu’on reçoit un fichier PDF signé par un “inconnu” il faut “identifier/valider” sa signature.
Pour ça il y a deux moyens : soit un échange préalable de certificats d’ID numérique, auquel cas il suffit d’importer ledit certificat pour “identifier/valider” ladite signature.L’autre moyen c’est d’ “identifier/valider” la signature à la volée (à l’ouverture du document signé) en utilisant le menu du panneau des “Signatures”.
Ce qui se fait soit en aveugle (il faut avoir confiance), soit par exemple en téléphonant au signataire et, après l’avoir incontestablement identifié, en lui demandant de donner les numéros (uniques) de son ID numérique, numéros qui apparaissent aussi dans la boite de dialogue d’ “identification/validation” d’une signature.:Smiley01:
Bonjour,
soit par exemple en téléphonant au signataire
Cela ne peut-il pas aussi se faire -ce serait sans doute un peu plus dans le contexte ?- via un message subliminal -sécurisé- en utilisant la force ? (dans le style des échanges entre les maîtres Qui-Gon et Yoda).
:soleil:Lionel :alien2:
via un message subliminal -sécurisé- en utilisant la force ?
Non, car Star Wars est très sexiste… Il semblerait que les femmes ne puissent pas accéder aux forces mentales (pas plus qu’aux sabres laser) : le testicule fait partie du minimum requis pour devenir Jedi (ou Sith).
:jerisjaune:Bonjour,
Non, car Star Wars est très sexiste… Il semblerait que les femmes ne puissent pas accéder aux forces mentales (pas plus qu’aux sabres laser) : le testicule fait partie du minimum requis pour devenir Jedi (ou Sith).
:jerisjaune:Cette rumeur est inexacte car, parmi les jeunes padawans, il y a des garçons et des filles. :Smiley08:
C’est bien mixte (Stass Allie, Allya, Ashla…) Et pas sûr que toutes les races possèdent des testicules. :jerisjaune:
À bientôt sur le forum.
Lionel :alien2:Bonjour,
je me permets de relancer le poste parce que je me pose la même question et je n’ai malheureusement pas tout à fait compris.Pour reprendre l’exemple, si Dark Vador se fait passer pour Obiwan, lorsque le fichier est intercepté.
El crée une nouvelle signature dans le champs Visa, il y aura bien la possibilité d’usurper l’identité d’ObiWan.
Dans ce cas je suppose que dans les propriétés de la signature on a la possibilité de vérifier qu’il s’agit des informations et ID uniques de Dark Vador ou d’Obiwan ?Merci pour ces précisions
Dans l’attente
:bonjour:Salut,
Pour que Dark Vador puisse faire ça il faudrait qu’il dérobe le certificat numérique d’Obi-Wan et qu’il lui dérobe aussi son mot de passe que lui seul connait.
Je ne sais pas qui sortirait vainqueur d’un tel combat mental mais ça sort du cadre des PDF et des signatures numériques !
:geek:Faire un autre certificat ne suffit pas, heureusement.
:Smiley03:Salut Merlin,
Meilleurs vœux, j’espère que tu vas bien.Ok ça ma rassure, par contre questions sans doute bête mais comment vérifie ton la légitimité de la signature ?
Quand un formulaire qui vient d’être rempli il est possible créer une signature c’est à ce moment là qu’il y a usurpation…
Est dans les paramètre de la signature que l’on obtient les informations d’indentifications uniques ?Merci pour cet éclaircissement.
:bonjour:Ok ça ma rassure, par contre questions sans doute bête mais comment vérifie ton la légitimité de la signature ?
Méthode ancienne, requise pour les signatures papier et les signatures numériques-tampon : il faut téléphoner au signataire supposé pour obtenir confirmation.
C’est valable aussi pour les signatures numériques avec ID et mot de passe si on n’a pas préalablement échangé de Certificats d’identité approuvée (voir ci-dessous).Méthode moderne, uniquement valable pour les signatures avec ID : on s’échange préalablement les Certificats d’identité approuvée, ainsi la validation est automatiquement faite par le logiciel à l’ouverture du document.
Voir : http://abracadabrapdf.net/ressources-et-tutos/protection-ressources/protection-par-certificat/
Est dans les paramètres de la signature que l’on obtient les informations d’identifications uniques ?
Oui, ça revient à mélanger les deux méthodes ci-dessus :
1- On se téléphone pour comparer les clés et le numéro d’identifiant (uniques) que l’on trouve dans les Propriétés des signatures-ID.
2- Si ce sont bien les mêmes, on doit Valider la signature reçue : ce qui revient à créer et à accepter un Certificat d’identité approuvée.
3- Pour chaque nouveau document signé reçu la validation sera automatique à l’ouverture, exactement comme si on avait préalablement échangé les Certificats d’identité approuvée.:Smiley01:
PS
Attention : les cryptages utilisés pour les signatures-ID sont réputés infalsifiables, à tel point que perte du Certificat ou perte du mot de passe = irrécupérable !
:idee:Merci Merlin pour ta réponse.
Si je comprends bien, l’émetteur doit manuellement chiffrer le document ?
Dans mon cas précis, j’ai un user qui rempli un form.
Ce form et ensuite envoyé par mail (à l’aide d’un bouton) a différents niveaux de valideurs.
Le valideur reçoit le document et le valide en y apposant sa signature et ensuite le doc est renvoyé dans le process…J’ai fait le test en me plaçant dans les différents niveaux de validation en créent (nouvelle ID) et insérant une signature fictive au nom du valideur.
Je vois pas par quel moyen il est possible de vérifier l’identité de valideur. Je suppose que l’on peut comparer le numéro ID de la signature qui doit etre unique… mais comment ?Merci pour ces renseignements
:bonjour:Après vérification sur plusieurs fichiers tests.
Dans les infos détaillées de la signature (onglet détails), les infos sont identiques, comme :
– le numéro de série
– la suite Hexa de la clé publique
– données X509
– Prétraitement SHA1 et MD5Donc uniques d’un utilisateur à l’autre ?
Si litige ce sont ces informations qui devront etre analysées ?Merci pour ta réponse Merlin
:bonjour:Si je comprends bien, l’émetteur doit manuellement chiffrer le document ?
Non, c’est Acrobat qui s’en charge.
Dans mon cas précis, j’ai un user qui rempli un form.
Ce form et ensuite envoyé par mail (à l’aide d’un bouton) a différents niveaux de valideurs.
Le valideur reçoit le document et le valide en y apposant sa signature et ensuite le doc est renvoyé dans le process…Il faut créer un fichier de signature (ID-numérique + mot de passe) pour chaque signataire.
Ensuite, chaque signataire doit exporter son Certificat d’identité approuvée.
Pour finir, chaque signataire doit importer et valider les Certificat d’identité approuvée des autres signataires.Tout ceci n’est à faire que la 1re fois.
:Smiley15:Donc uniques d’un utilisateur à l’autre ?
Oui.
Si litige ce sont ces informations qui devront etre analysées ?
Eventuellement, mais si les Certificats d’identité approuvée sont correctement installés il ne peut pas y avoir de litige : les signatures seront valides ou non (bandeau bleu ou bandeau jaune).
Merci Merlin
Cela me parait difficile à mettre en place dans mon cas de figure cette notion import/export, tu connais en plus mon contexte, il y a quand même du monde !
Ce qui semble le plus simple c’est d’analyser l’ID quand la légitimité de la signature est mise en cause.
Tu penses que cela peut suffir le fait d’analyser les propriétés de la signature ?
Si besoin je t’envoie l’exemple en MP.
Merci encore
:bonjour:Tu penses que cela peut suffir le fait d’analyser les propriétés de la signature ?
On peut, mais l’inconvénient de faire ça a posteriori c’est que cela revient à avoir un processus de travail dans lequel les documents ne seront jamais validés et afficheront toujours la barre jaune.
De plus tu n’échapperas pas aux marioles qui re-créront une nouvelle signature et un nouveau certificat à chaque fois qu’ils le jugeront nécessaire.
Autant les signer avec une signature-tampon, ou ne pas les signer du tout.Il existe des sociétés qui fournissent des solutions plus adaptées à ton contexte (voir dans le ZIP ci-joint : http://cl.ly/TMMv ).
:bonjour:re-PS : mais avant ça tu devrais tester avec les Certificats de Windows et/ou le Trousseau de Mac OS X, je crois bien que c’est compatible…
:idee: :idee: :idee:
:priere:
- Vous devez être connecté pour répondre à ce sujet.