Les clés de signature et les certificats relatifs aux signatures électroniques qualifiées (pour les personnes physiques) et aux cachets électroniques réglementés (pour les organisations) qui ont été délivrés par un fournisseur de services de certification reconnu en vertu de la SCSE sont très sûrs du point de vue cryptographique.
La clé de signature privée peut se trouver soit sur une carte à puce spécialement certifiée à utiliser localement, soit sur un HSM chez le fournisseur de prestations informatiques (architecture interne de l’administration fédérale), soit dans une autre architecture, chez un autre fournisseur de services de certification.
Structure de données signée par le fournisseur et contenant uniquement la clé publique, le certificat peut être publié dans des répertoires.
Les clés de signature et les certificats avancés délivrés par des fournisseurs reconnus peuvent également être considérés comme sûrs, à condition que leur clé de signature présente une longueur d’au moins 2048 bits et soit enregistrée sur une smartcard locale ou dans un HSM. Ils ne déploient cependant aucun effet juridique au sens de la SCSE.
Tous les collaborateurs de l’administration fédérale disposent (en plus d’un certificat d’authentification et d’un certificat de chiffrement) d’un certificat de signature avancé (classe B) enregistré sur une smartcard. Ce certificat ne relève cependant pas de la catégorie des certificats réglementés au sens de la SCSE. Il sert uniquement à des fins internes, pour les manifestations de volonté et pour la signature des courriels.
Les clés de signature et les certificats avancés délivrés sous forme de certificats logiciels par des fournisseurs reconnus n’offrent, quant à eux, aucune sécurité, car leur clé de signature privée figure dans le même fichier que le certificat, ce qui la rend reproductible à volonté.
Voir aussi la liste des types de certificat délivrés par la Swiss Government PKI aux collaborateurs de la Confédération et des cantons pour différents usages.
