Fonctionnement

Pour créer des signatures électroniques reconnues, c’est-à-dire conformes à la SCSE, le signataire doit disposer:

  • d’une clé de signature privée enregistrée sur un dispositif sécurisé de création de signature (Secure Signature Creation Device [SSCD]), c’est-à-dire soit la puce d’une carte de signature utilisée localement (smartcard), où elle n’est pas reproductible, soit un module matériel de sécurité (Hardware Security Module [HSM]) central et hautement sécurisé;
  • d’une structure de données liée à la clé de signature privée par un numéro de série, autrement dit d’un certificat, qui contient, entre autres:

1. les données personnelles du titulaire de la clé privée;
2. la clé de signature publique associée à la clé privée;
3. les données relatives à la durée de validité du certificat;
4. des données relatives au fournisseur de services de certification qui a délivré le certificat et qui confirme l’exactitude de tous les éléments de la signature numérique.

Délivrance d’un certificat

Pour obtenir un certificat réglementé ou qualifié au sens de la SCSE, le requérant doit se présenter en personne, avec son passeport ou sa carte d’identité, chez le fournisseur de services de certification ou au bureau désigné par celui-ci. Les données permettant de l’identifier (le contenu de ses documents d’identité) sont recueillies sous la forme d’une photocopie certifiée conforme et archivées chez l’émetteur du certificat pour une durée de onze ans à des fins de traçabilité. L’émetteur du certificat garantit, par des procédures techniques et organisationnelles certifiées, que seul le requérant peut utiliser la clé de signature privée en relation avec le certificat.

La Swiss Government PKI remet au requérant en personne les PIN, mots de passe, certificats d’authentification, etc., requis et, si nécessaire, la clé de signature privée (si elle figure sur une smartcard). D’autres fournisseurs envoient généralement ces informations, et si nécessaire la smartcard, par courrier recommandé, en plusieurs envois séparés.

Lors de la création d’une signature électronique:

  • un programme de signature calcule l’empreinte numérique (hash ou «valeur de hachage») d’un document;
  • la valeur de hachage est cryptée au moyen de la clé de signature privée du signataire;
  • s’y ajoute un horodatage qualifié qui établit de manière incontestable l’heure et la date de la signature;
  • ces données sont généralement enregistrées dans le document lui-même (PDF) ou jointes à celui-ci sous la forme d’un fichier distinct, avec le certificat du signataire, lequel contient aussi la clé de signature publique.

Le destinataire du document peut vérifier celui-ci au moyen d’un programme approprié d’affichage et de validation des signatures électroniques. Le programme applique la procédure suivante:

  1. il vérifie la validité du certificat et son lien avec le fournisseur de services de certification qui l’a délivré;
  2. il décrypte la valeur de hachage du document au moyen de la clé de signature publique figurant dans le certificat joint, et reconstitue la valeur de hachage du document de son côté;
  3. il vérifie ensuite si les deux valeurs de hachage coïncident, et si le certificat est valable; si ces deux conditions sont remplies, il établit que le document a été signé au moyen d’un certificat valable et n’a pas été modifié depuis.

Le fournisseur de services de certification publie aussi, entre autres, une liste de tous les certificats révoqués pour cause de changement d’emploi, de décès ou de perte, avec leur date de révocation. Au cours du processus de validation, le programme vérifie automatiquement que le certificat était bien valable au moment de la signature. Pour ce faire, il examine l’horodatage apposé par le système lors de la création de la signature électronique. La présence d’un horodatage qualifié est un critère de validité des signatures électroniques qualifiées, conformément à l’art. 14, al. 2bis, CO.

Tous les fournisseurs de services de certification reconnus en vertu de la SCSE proposent également un service d’horodatage qualifié.

Voir aussi la liste des fournisseurs de services de certification reconnus en vertu de la SCSE.

20200422-Characterdesign.V3.0_incircle.V2
https://www.bit.admin.ch/content/bit/fr/home/themes/elektronische-signatur/elektronische-signatur/funktionsweise.html