Discussion :

[marveljojo75]

Bonjour à tous !

Après plusieurs recherches sur le web et différents forum, je me rends compte que la mise en place d'une "signature électronique" est un beau concept théorique, mais que chacun a sa vison !
Voici un exemple parmi tant d'autre :
http://www.foruminternet.org/particu...ctronique.html

Le but de ce Biki est de recenser les expériences de chacun, et d'essayer d'en faire une synthèse.
Je pense que cela devrait exister sur un site tel que developpez.com, car de plus en plus de sociétés crés des documents ayant besoin d'être signé numériquement par x ou y individus.

Sur ce, allez-y, lâchez vous et bonne journée !!!

Voici déjà une liste de sociétés proposant cette technologie:

CertEurope :
http://www.certeurope.fr/?subject=73&language=1

Tbs-internet :
http://www.tbs-certificats.com/

[deglingo592003]

cela peut être une bonne idée,

par contre juste pour partir sur une bonne base, ce Biki a pour but de référencer les utilisations des signatures (ou plus généralement des certificats)

ou plutôt d'aborder le coté développement avec l'utilisation des certificats et donc vu la place du topic, développement en Java ?

idée à développer un peu plus tard car là je n'ai pas beaucoup de temps mais j'essayerai d'apporter ma pierre à l'édifice.

[marveljojo75]

Mis à jour.
Je continue mes recherches.
Il semble que le plus compliqué ne soit pas tant la "technologie", mais les processus à mettre en place pour utiliser cette technologie.
En effet, il y a différentes catégories de certificats (Certificat de type Pris V1 semble assez efficace) , et différents types d'utilisation (envoit par email des clés, Clé externe sur clé USB : utilisation possible sur tous les ordinateurs munis d'un port USB) ...

Allez, je continue mes recherches

[Invité]

Salut,

Pour parler du thème de la signature électronique il faut déjà comprendre le concept sous jacent. Il existe en gros deux grans schémas de distributions de clefs publiques et de confiance : PKI (Public Key Infrastructure) et PGP (Pretty Good Privacy)
Je vais aprler ici de PKI car je maîtrise plus et parce que quand on parle de certificats X.509 utilisés par tes liens, c'est du PKI.
Le problème de mettre en place un service de signature de documents n'est pas technique mais au niveau de la sécurité et des normes. Je suppose que tu connais un peu les PKI déjà (sinon un conseil, penche toi dessus ). Une PKI utilise les signatures numériques dans sa structure même : tu as des autorités de certification qui signent un certificat (clef publique + identité du propriétaire) pour certifier la validité des données.
Lors d'une signature, le certificat ayant été autorisé par la CA à signer des documents et qui est associé à la clef privé qui a émis la signature, est attaché avec la signature (PKCS#7 souvent, comme pour S/MIME par exemple). Lors de la vérification de la signature, on vérifie la validité et l'intégrité du certificat.
C'est ici que la sécurité est importante : comment faire confiance à un certificat ?
Donc entre en jeu la chaine de confiance des CA. Une CA ayant émis le certificat peut être elle-même signée par une autre CA, qui elle même peut être signée par une autre CA et ainsi de suite. Il existe aussi des CA auto-signée, et la chaine s'arrête ici. L'avantage des plateformes dont tu as donné les liens est qu'ils ont en haut de leur chaine de CA par exemple verisign. les certificats de Verisign sont par défaut installés dans firefox, thunderbird, certificate store de windows, java keystore, etc etc... Donc tout certificat qui remonte jusquà une de ces CA sera de confiance (si non révoqué) pour quasi tout le monde. Inconvénient ? Pour faire signer un certificat par une de ces CA, il faut souvent payer et bien sûr prouver son identité de manière fiable (ça se comprend, on ne donne pas des moyens de signature/cryptage à n'importe qui sans vérifier avant qui est cette personne, car la CA s'engage à reconnaître l'identité de la personne), voire ce service peut n'être accessible que pour des entreprises par exemple.
Bien sûr on n'est pas obligé de se faire signer par une de ces CA, et avoir sa propre CA autosignée, cela signifie que les utilisateur qui vérifient la signature doivent importer et faire confiance à cette CA (c'est ce qu'on nomme une CA racine au passage ). On peut aussi essayer de faire inclure notre CA dans les outils suscités par défaut, mais là encore : prix, preuve de l'identité et qu'on ne donne pas des certificats à n'importe qui sans vérification fiable, professionnalisme quasi exigé, je vois mal la fondation mozilla accepter d'inclure par défaut une CA qui est gérée quand on a le temps par des gens qui distribuent leurs certificats à la va vite.
Bref, la signature électronique c'est bien et puissant, mais ça implique : une connaissance assez approfondie des structures type PKI, une gestion stricte et continue de cette PKI (révocation de certificats, réémission de certificats périmés, ...). De plus je pense qu'une installation du CA doit être un minimum sécurisée voire même évaluée par des commissions spécialisées (quels logiciels, quelle version, que Système d'exploitation, quelle machine, quel environnement physique). Bref la mise en place d'un tel service n'est pas facile, et demande beaucoup de temps/entretien/argent et des conditions de sécurité élevées. Car bon, une signature électronique c'est simple à faire en soit, tout le monde peut le faire chez lui, mais la confiance qu'on lui accorde (et des entreprises veulenet avoir cette confiance et en avoir la preuve avant d'envoyer des signatures comme ça), ça c'est un gros problème.
J'espère ne pas m'être éloigné du sujet initial, mais c'est comme ça que je l'ai compris et je donne mon avis dessus
Sur ce, pourquoi est-ce dans la section Java ?