Esup-Signature

Arborescence des pages

Comparaison des versions

Ancienne version 63

changes.mady.by.user David Lemaignent

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user David Lemaignent

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Les signatures électroniques ainsi que leurs validations sont prises en charge par la bibliothèque DSS Signature de la Commission Européenne, voir :
https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/DSS+releases

La documentation de DSS Signature est disponilble ici : https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/doc/dss-documentation.html

L'horodatage des signatures électroniques est assuré par un serveur dont l'adresse est configuré, par défaut, avec le service proposé par la Belgique et présent d'origine dans le projet DSS Signature.

http://tsa.belgium.be/connect

Attention toutefois, ce service est limité à 100 jetons par jours.

Voici une liste de services de timestamps gratuits disponibles (attention, certains ont des restriction d'utilisation) : https://gist.github.com/Manouchehri/fd754e402d98430243455713efada710

Il est, bien sûr, possible d'utiliser un autre service en modifiant l'adresse dans la configuration. Plus de détails ici : Configuration#dss

La conversion des documents est faite via Ghostscript. L'affichage et la manipulation des PDF sont assurés par PDF.js et PDFBox

...

Actuellement plusieurs établissements (on en compte plus d'une vingtaine en 2024) utilisent esup-signature en production. Certains d'entre eux signent leurs marchés publiques à l'aide de clés cryptographiques et de NexU.

Pourquoi utiliser Esup-Signature plutôt qu'un autre outil ?

...

Les clés cryptographiques (RGS...) sont prises en charge par l'application Esup-DSS-Client associée à DSS pour accéder aux keystores locaux et saisir la passphrase (https://github.com/EsupPortail/esup-dss-client)

Les certificats cachet d'établissement sont pris en charge, coté serveur, pour verrouiller des documents en fin de circuit (pas de passphrase à saisir).

Quels types de certificats sont pris en charge par Esup-Signature ?

Deux solutions sont possibles pour les certificats personnels :

voir Esup-DSS-Client)

Remarque

À l'université de Rouen la signature est concluante avec un certificat obtenu auprès de certinomis : Offre SERVEUR 2 étoiles / Cachet 2 étoiles G2 - sur carte. L'autorité de certification est reconnue par la trustlist française sous le nom "Certinomis - Prime CA G2"

Le materiel reçu est une clé Feitian Technologies, Inc. SCR301 avec une carte Gemalto pris en charge par OpenSC (pilote "idprime : Gemalto IDPrime")

Vous trouverz la liste des matériels supportés ici : https://github.com/OpenSC/OpenSC/wiki/Supported-hardware-%28smart-cards-and-USB-tokens%29

Les certificats cachet d'établissement sont aussi pris en charge, coté serveur, pour verrouiller des documents en fin de circuit (pas de passphrase à saisir).

Quels types de certificats sont pris en charge par Esup-Signature ?

Deux solutions sont possibles pour les certificats personnels :

  • déposer un keystore (magasin de clés au format PKCS12) dans son profil d'Esup-Signature. déposer un keystore (magasin de clés au format PKCS12) dans son profil d'Esup-Signature. Le magasin sera stocké dans la base d'Esup-Signature. Le keystore est protégé par un mot de passe, demandé à chaque recours à la signature électronique d'un document,
  • vous pouvez utiliser tous les certificats reconnus par le magasin de certificats de Windows et OpenSC à l'aide de l'application Esup-DSS-Client (Esup-DSS-Client)

...

  • par l'utilisateur s'il possède le rôle ROLE_SEAL
  • automatiquement en fin de circuit et fonction de la configuration d'esup-signature

Quel contrôle de validité pour les documents signés ?

Voici comment esup-signature contrôle la validité des signatures :

...

En conclusion, le seul moyen d'avoir une signature 100% valide lors de la vérification (tous les voyants au vert), c'est de signer avec un certicat eIDas non révoqué et un timesamps, tous deux présents dans la trustlist européenne (voir "Statut DSS" dans la partie admin)

...

Est-il

...

Les librairies SEDALib du projet Vitam sont intégrées dans esup-signature (https://www.programmevitam.fr/pages/ressources/sedalib/). Une implémentation à minima (POC) est proposée via cette classe https://github.com/EsupPortail/esup-signature/blob/master/src/main/java/org/esupportail/esupsignature/service/export/SedaExportService.java. Cette partie est à affiner avec l'aide d'une personne compétente en matière archivage électronique.

Fonctionnalités

Quel formats de documents sont supportés

Pour la signature électronique, tous types de documents. Seuls le format PDF permet apposer un visuel de la signature (les images sont converties en PDF pour permettre ce type de signature). Dans ce cas il est possible de faire une signature simple (apposition d'une image) ou une signature PAdES visuelle.

Pour tout autre format, esup-signature proposera une signature du fichier au format XAdES.

Puis-je contrôler la validité d'un document PDF signé électroniquement avec Esup-Signature?

Oui. Deux cas se présente en fonction du type de signature :

...

possible de "sur-signer" un document déjà signé ?

Oui, il est possible d'ajouter des signatures supplémentaires à un document PDF déjà signé. Les normes AdES, en conformité avec eIDAS, définissent les critères des signatures électroniques avancées, permettant l'ajout de nouvelles signatures sans altérer celles déjà existantes. DSS-Signature, se conformant à ces normes, offre la flexibilité de "sur-signer" un document PDF en ajoutant de nouvelles signatures tout en préservant l'intégrité des signatures précédemment apposées.

Mes signatures seront-elles compatibles avec la validation à long terme

Le principe de la validation du document à long terme (VLT ou ALT) est d'inclure les révocations dans le PDF (signature type baseline_lt long-term). Pour obtenir la compatibilité ALT, il faut donc signer avec un certificat eIDas pour lequel les révocations sont gérées. Les informations sur la révocation seront incluses dans le PDF ce qui augmente sa taille. Si esup-signature ne trouve pas les révocations pour un certificat donné, on passe automatiquement en baseline_t (timestamp), donc plus compatible ALT / VLT. Le niveau baseline est configurable ici Configuration#sign

L'archivage légal est-il géré par Esup-Signature?

Les librairies SEDALib du projet Vitam sont intégrées dans esup-signature (https://www.programmevitam.fr/pages/ressources/sedalib/). Une implémentation à minima (POC) est proposée via cette classe https://github.com/EsupPortail/esup-signature/blob/master/src/main/java/org/esupportail/esupsignature/service/export/SedaExportService.java. Cette partie est à affiner avec l'aide d'une personne compétente en matière archivage électronique.

Fonctionnalités

Quel formats de documents sont supportés

Pour la signature électronique, tous types de documents. Seuls le format PDF permet apposer un visuel de la signature (les images sont converties en PDF pour permettre ce type de signature). Dans ce cas il est possible de faire une signature simple (apposition d'une image) ou une signature PAdES visuelle.

Pour tout autre format, esup-signature proposera une signature du fichier au format XAdES.

Puis-je contrôler la validité d'un document PDF signé électroniquement avec Esup-Signature ?

Oui. Deux cas se présente en fonction du type de signature :

  • Si vous êtes en possession d'un document signé par esup-signature via l'apposition d'image (signature simple), vous pourrez, en cliquant sur l'image de la signature, accéder à une page de vérification qui contrôlera l'intégrité du document (checksum) et qui affichera le dossier de preuve.
  • Si le document est signé à l'aide d'un certificat électronique, esup-signature permet sa vérification à l'aide du moteur DSS Signature

Quels types de signatures sont gérés dans Esup-Signature ?

Esup-Signature gère plusieurs niveaux de signature :

  • le visa, l'utilisateur authentifié valide simplement son étape. Ce type d'estampille numérique permet de valider un document électronique, sans forcément y apposer un sceau image ou un sceau électronique. Toutes les étapes d'un circuit de signature sont systématiquement journalisées, permettant d'apporter la preuve du visa a posteriori (horodatage, login),
  • la signature calligraphique, utilisable pour les fichier PDF. L'image du signataire est ajoutée au sein du PDF. Ca n'est pas, à proprement parler la signature électronique d'un document,
  • la signature électronique au format PAdES, CAdES ou XAdES peut se faire via un certificat X509 téléchargé sur le profil de l'utilisateur ou via une clé cryptographique.

Voici un tableau des formats utilisés en fonction des cas d'usages. Le format XAdES ou CAdES est configuré de manière globale par l'administrateur


Signature visuelleSignature détachée
Document PDFPAdESXAdES/CAdES
Document autreN/AXAdES/CAdES

L'utilisation d'un certificat eIDAs sur support cryptographique nécessite le logiciel Esup-DSS-Client .

Pourquoi préférer l'usage d'un PDF/A en entrée d'esup-signature ?

Le PDF/A, souvent utilisé pour l'archivage à long terme, garantit une lecture optimale et stable sur la durée.

Le PDF/A assure notamment que les polices de caractères sont embarquées (embed) dans le document PDF/A, ce qui garantit que le document aura le même aspect visuel quel que soit le système d'exploitation ou le logiciel de lecture utilisé. Cela assure une expérience cohérente pour tous les utilisateurs, indépendamment de leur environnement informatique, et sur le long terme.

Lorsque vous utilisez esup-signature, il est recommandé d'utiliser un PDF/A en entrée : bien que esup-signature produise toujours un PDF/A en sortie, fournir un PDF/A en entrée évite toute modification de forme (formatage) non intentionnelle du document lors de sa conversion en PDF/A par esup-signature.

Comment obtenir un PDF/A depuis LibreOffice (ou Word) ?

En suivant ces étapes, vous pouvez facilement convertir vos documents en PDF/A pour une utilisation optimale avec esup-signature (cf question ci-dessus). 

  1. LibreOffice :
    • Ouvrez votre document dans LibreOffice.
    • Accédez à "Fichier" > "Exporter au format PDF".
    • Cochez l'option "PDF/A-1a" ou "PDF/A-1b" dans les paramètres d'exportation.
    • Cliquez sur "Exporter" pour générer votre PDF/A.
  2. Microsoft Word :
    • Ouvrez votre document dans Word.
    • Accédez à "Fichier" > "Enregistrer sous".
    • Choisissez "PDF" dans la liste des formats.
    • Cliquez sur "Options".
    • Sélectionnez l'option "Standard ISO 19005-1 (PDF/A)".
    • Cliquez sur "OK", puis sur "Enregistrer" pour créer votre PDF/A.

Quels systèmes d'exploitations sont supportés par Esup-Signature pour effectuer des signatures eIDas (RGS**) ?

Conformément aux deux questions précédentes, à savoir : "Je dispose d'un certificat RGS** ou RGS*** (EIDAS). Esup-Signature me permet-il de signer des documents officiels avec ce type de certificats ?" et "Quels types de certificats sont pris en charge par Esup-Signature ?", Esup-Signature offre la possibilité de signer des documents de manière sécurisée avec différents types de certificats :

  1. Certificats personnels sécurisés : Esup-Signature permet aux utilisateurs de signer des documents avec des certificats personnels, qu'ils soient stockés matériellement (dispositifs USB) ou logiciellement (dans des magasins de certificats). L'utilisation de l'outil libre et gratuit esup-dss-client est possible sur les systèmes d'exploitation Windows, macOS et Linux, offrant ainsi une compatibilité avec les trois principaux systèmes de bureau du marché. Des installateurs sont disponibles pour chaque système d'exploitation.

  2. Cachets d'établissement : Esup-Signature prend également en charge l'utilisation de cachets d'établissement, qui correspondent à des certificats RGS**. Dans ce cas, le cachet doit être positionné au niveau du serveur à l'aide d'un dispositif USB sécurisé. La signature avec ce cachet est ensuite possible grâce au logiciel esup-signature, comme décrit dans la question "Quels types de certificats sont pris en charge par Esup-Signature ?". Cette approche présente de nombreux avantages, tant fonctionnels (le certificat n'est pas lié à une personne spécifique mais à l'établissement, ce qui permet une économie substantielle en termes d'achat et de mise en œuvre) que techniques (aucune installation ou configuration spécifique requise sur le poste utilisateur). En outre, ce mode de fonctionnement permet à un utilisateur de signer avec un certificat RGS** depuis n'importe quel navigateur, y compris un simple navigateur sur un smartphone.

En résumé, par rapport aux autres solutions disponibles sur le marché, et dans ses dernières versions, Esup-Signature se distingue comme un logiciel offrant la possibilité de réaliser des signatures qualifiées sur tous les systèmes d'exploitation, tout en étant l'une des options les plus abordables : logiciel libre et gratuit de bout en bout, dont le client et ses installateurs associés

...

Quels types de signatures sont gérés dans Esup-Signature ?

Esup-Signature gère plusieurs niveaux de signature :

  • le visa, l'utilisateur authentifié valide simplement son étape. Ce type d'estampille numérique permet de valider un document électronique, sans forcément y apposer un sceau image ou un sceau électronique. Toutes les étapes d'un circuit de signature sont systématiquement journalisées, permettant d'apporter la preuve du visa a posteriori (horodatage, login),
  • la signature calligraphique, utilisable pour les fichier PDF. L'image du signataire est ajoutée au sein du PDF. Ca n'est pas, à proprement parler la signature électronique d'un document,
  • la signature électronique au format PAdES, CAdES ou XAdES peut se faire via un certificat X509 téléchargé sur le profil de l'utilisateur ou via une clé cryptographique.

Voici un tableau des formats utilisés en fonction des cas d'usages. Le format XAdES ou CAdES est configuré de manière globale par l'administrateur

...

L'utilisation d'un certificat eIDAs sur support cryptographique nécessite le logiciel NexU.

Esup-Signature gère-t-il L'authentification par SMS pour les personnes extérieures à l'établissement ?

...