Esup-Signature

Arborescence des pages

Comparaison des versions

Ancienne version 56

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version 76

changes.mady.by.user David Lemaignent

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Les signatures électroniques ainsi que leurs validations sont prises en charge par la bibliothèque DSS Signature de la Commission Européenne, voir :
https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/DSS+releases

La documentation de DSS Signature est disponilble ici : https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/doc/dss-documentation.html

L'horodatage des signatures électroniques est assuré par un serveur dont l'adresse est configuré, par défaut, avec le service proposé par la Belgique et présent d'origine dans le projet DSS Signature.

http://tsa.belgium.be/connect

Attention toutefois, ce service est limité à 100 jetons par jours.

Voici une liste de services de timestamps gratuits disponibles (attention, certains ont des restriction d'utilisation) : https://gist.github.com/Manouchehri/fd754e402d98430243455713efada710

Il est, bien sûr, possible d'utiliser un autre service en modifiant l'adresse dans la configuration. Plus de détails ici : Configuration#dss

La conversion des documents est faite via Ghostscript. L'affichage et la manipulation des PDF sont assurés par PDF.js et PDFBox

...

Actuellement plusieurs établissements utilisent esup-signature en production. Certains d'entre eux signent leurs marchés publiques à l'aide de clés cryptographiques et de NexU.

Pourquoi utiliser Esup-Signature plutôt qu'un autre outil ?

...

Les clés cryptographiques (RGS...) sont prises en charge par l'application NexU Esup-DSS-Client associée à DSS pour accéder aux keystores locaux et saisir la passphrase ( https://nowina.lu/solutions/java-less-browser-signing-nexu/ )

Les certificats cachet d'établissement sont pris en charge, coté serveur, pour verrouiller des documents en fin de circuit (pas de passphrase à saisir).

Quels types de certificats sont pris en charge par Esup-Signature ?

Deux solutions sont possibles pour les certificats personnels :

  • déposer un keystore (magasin de clés au format PKCS12) dans son profil d'Esup-Signature. Le magasin sera stocké dans la base d'Esup-Signature. Le keystore est protégé par un mot de passe, demandé à chaque recours à la signature électronique d'un document,
  • vous pouvez utiliser tout certificats compatible avec la solution NexU voir : https://nowina.lu/solutions/java-less-browser-signing-nexu
    Cette solution prend en charge les clés cryptographiques et de manière générale, tous les certificats reconnus par le magasin de certificats de Windows.

Pour les certificats cachet, il faudra brancher la clé cryptographique sur le serveur hébergeant esup-signature. Après configuration, la signature avec ce certificat sera disponible de 2 manières :

  • par l'utilisateur s'il possède le rôle ROLE_SEAL
  • automatiquement en fin de circuit et fonction de la configuration d'esup-signature

L'archivage légal est-il géré par Esup-Signature?

Les librairies SEDALib du projet Vitam sont intégrées dans esup-signature (https://www.programmevitam.fr/pages/ressources/sedalib/). Une implémentation à minima (POC) est proposée via cette classe https://github.com/EsupPortail/esup-signature/blob/master/src/main/java/org/esupportail/esupsignature/service/export/SedaExportService.java. Cette partie est à affiner avec l'aide d'une personne compétente en matière archivage électronique.

Fonctionnalités

Quel formats de documents sont supportés

Pour la signature électronique, tous types de documents. Seuls le format PDF permet apposer un visuel de la signature (les images sont converties en PDF pour permettre ce type de signature). Dans ce cas il est possible de faire une signature simple (apposition d'une image) ou une signature PAdES visuelle.

Pour tout autre format, esup-signature proposera une signature du fichier au format XAdES.

Puis-je contrôler la validité d'un document PDF signé électroniquement avec Esup-Signature?

Oui. Deux cas se présente en fonction du type de signature :

...

voir Esup-DSS-Client)

Remarque

À l'université de Rouen la signature est concluante avec un certificat obtenu auprès de certinomis : Offre SERVEUR 2 étoiles / Cachet 2 étoiles G2 - sur carte. L'autorité de certification est reconnue par la trustlist française sous le nom "Certinomis - Prime CA G2"

Le materiel reçu est une clé Feitian Technologies, Inc. SCR301 avec une carte Gemalto pris en charge par OpenSC (pilote "idprime : Gemalto IDPrime")

Vous trouverz la liste des matériels supportés ici : https://github.com/OpenSC/OpenSC/wiki/Supported-hardware-%28smart-cards-and-USB-tokens%29

Les certificats cachet d'établissement sont aussi pris en charge, coté serveur, pour verrouiller des documents en fin de circuit (pas de passphrase à saisir).

Quels types de certificats sont pris en charge par Esup-Signature ?

Deux solutions sont possibles pour les certificats personnels :

  • déposer un keystore (magasin de clés au format PKCS12) dans son profil d'Esup-Signature. Le magasin sera stocké dans la base d'Esup-Signature. Le keystore est protégé par un mot de passe, demandé à chaque recours à la signature électronique d'un document,
  • vous pouvez utiliser tous les certificats reconnus par le magasin de certificats de Windows et OpenSC à l'aide de l'application Esup-DSS-Client (Esup-DSS-Client)

Pour les certificats cachet, il faudra brancher la clé cryptographique sur le serveur hébergeant esup-signature. Après configuration, la signature avec ce certificat sera disponible de 2 manières :

  • par l'utilisateur s'il possède le rôle ROLE_SEAL
  • automatiquement en fin de circuit et fonction de la configuration d'esup-signature

Quel contrôle de validité pour les documents signés ?

Voici comment esup-signature contrôle la validité des signatures :

  • Toutes les signatures faites avec un certificat non eIDas sont considérées comme invalide ou partiellement invalide. Cependant cela ne remet pas en cause la valeur juridique de ce type de signature (signature avancée), le document est bien vérouillé.
  • Il n'y a pas de contrôle de révocation lors de la signature d'un document avec un certificat que n'est pas dans la trustlist européenne, non eIDas (ni lors de l'ajout du certificat dans le profil de l'utilisateur)
  • DSS-Signature contrôle la révocation lors la vérification d'un document signé par un certificat eIDas (signature qualifiée)

En conclusion, le seul moyen d'avoir une signature 100% valide lors de la vérification (tous les voyants au vert), c'est de signer avec un certicat eIDas non révoqué et un timesamps, tous deux présents dans la trustlist européenne (voir "Statut DSS" dans la partie admin)

Est-il possible de "sur-signer" un document déjà signé ?

Oui, il est possible d'ajouter des signatures supplémentaires à un document PDF déjà signé. Les normes AdES, en conformité avec eIDAS, définissent les critères des signatures électroniques avancées, permettant l'ajout de nouvelles signatures sans altérer celles déjà existantes. DSS-Signature, se conformant à ces normes, offre la flexibilité de "sur-signer" un document PDF en ajoutant de nouvelles signatures tout en préservant l'intégrité des signatures précédemment apposées.

L'archivage légal est-il géré par Esup-Signature?

Les librairies SEDALib du projet Vitam sont intégrées dans esup-signature (https://www.programmevitam.fr/pages/ressources/sedalib/). Une implémentation à minima (POC) est proposée via cette classe https://github.com/EsupPortail/esup-signature/blob/master/src/main/java/org/esupportail/esupsignature/service/export/SedaExportService.java. Cette partie est à affiner avec l'aide d'une personne compétente en matière archivage électronique.

Fonctionnalités

Quel formats de documents sont supportés

Pour la signature électronique, tous types de documents. Seuls le format PDF permet apposer un visuel de la signature (les images sont converties en PDF pour permettre ce type de signature). Dans ce cas il est possible de faire une signature simple (apposition d'une image) ou une signature PAdES visuelle.

Pour tout autre format, esup-signature proposera une signature du fichier au format XAdES.

Puis-je contrôler la validité d'un document PDF signé électroniquement avec Esup-Signature ?

Oui. Deux cas se présente en fonction du type de signature :

  • Si vous êtes en possession d'un document signé par esup-signature via l'apposition d'image (signature simple), vous pourrez, en cliquant sur l'image de la signature, accéder à une page de vérification qui contrôlera l'intégrité du document (checksum) et qui affichera le dossier de preuve.
  • Si le document est signé à l'aide d'un certificat électronique, esup-signature permet sa vérification à l'aide du moteur DSS Signature

Quels types de signatures sont gérés dans Esup-Signature ?

Esup-Signature gère plusieurs niveaux de signature :

  • le visa, l'utilisateur authentifié valide simplement son étape. Ce type d'estampille numérique permet de valider un document électronique, sans forcément y apposer un sceau image ou un sceau électronique. Toutes les étapes d'un circuit de signature sont systématiquement journalisées, permettant d'apporter la preuve du visa a posteriori (horodatage, login),
  • la signature calligraphique, utilisable pour les fichier PDF. L'image du signataire est ajoutée au sein du PDF. Ca n'est pas, à proprement parler la signature électronique d'un document,
  • la signature électronique au format PAdES, CAdES ou XAdES peut se faire via un certificat X509 téléchargé sur le profil de l'utilisateur ou via une clé cryptographique.

Voici un tableau des formats utilisés en fonction des cas d'usages. Le format XAdES ou CAdES est configuré de manière globale par l'administrateur


Signature visuelleSignature détachée
Document PDFPAdESXAdES/CAdES
Document autreN/AXAdES/CAdES

L'utilisation d'un certificat eIDAs sur support cryptographique nécessite le logiciel Esup-DSS-Client .

Quels systèmes d'exploitations sont supportés par Esup-Signature pour effectuer des signatures eIDas (RGS**) ?

Conformément aux deux questions précédentes, à savoir : "Je dispose d'un certificat RGS** ou RGS*** (EIDAS). Esup-Signature me permet-il de signer des documents officiels avec ce type de certificats ?" et "Quels types de certificats sont pris en charge par Esup-Signature ?", Esup-Signature offre la possibilité de signer des documents de manière sécurisée avec différents types de certificats :

  1. Certificats personnels sécurisés : Esup-Signature permet aux utilisateurs de signer des documents avec des certificats personnels, qu'ils soient stockés matériellement (dispositifs USB) ou logiciellement (dans des magasins de certificats). L'utilisation de l'outil libre et gratuit esup-dss-client est possible sur les systèmes d'exploitation Windows, macOS et Linux, offrant ainsi une compatibilité avec les trois principaux systèmes de bureau du marché. Des installateurs sont disponibles pour chaque système d'exploitation.

  2. Cachets d'établissement : Esup-Signature prend également en charge l'utilisation de cachets d'établissement, qui correspondent à des certificats RGS**. Dans ce cas, le cachet doit être positionné au niveau du serveur à l'aide d'un dispositif USB sécurisé. La signature avec ce cachet est ensuite possible grâce au logiciel esup-signature, comme décrit dans la question "Quels types de certificats sont pris en charge par Esup-Signature ?". Cette approche présente de nombreux avantages, tant fonctionnels (le certificat n'est pas lié à une personne spécifique mais à l'établissement, ce qui permet une économie substantielle en termes d'achat et de mise en œuvre) que techniques (aucune installation ou configuration spécifique requise sur le poste utilisateur). En outre, ce mode de fonctionnement permet à un utilisateur de signer avec un certificat RGS** depuis n'importe quel navigateur, y compris un simple navigateur sur un smartphone.

En résumé, par rapport aux autres solutions disponibles sur le marché, et dans ses dernières versions, Esup-Signature se distingue comme un logiciel offrant la possibilité de réaliser des signatures qualifiées sur tous les systèmes d'exploitation, tout en étant l'une des options les plus abordables : logiciel libre et gratuit de bout en bout, dont le client et ses installateurs associés

...

Quels types de signatures sont gérés dans Esup-Signature ?

Esup-Signature gère plusieurs niveaux de signature :

  • le visa, l'utilisateur authentifié valide simplement son étape. Ce type d'estampille numérique permet de valider un document électronique, sans forcément y apposer un sceau image ou un sceau électronique. Toutes les étapes d'un circuit de signature sont systématiquement journalisées, permettant d'apporter la preuve du visa a posteriori (horodatage, login),
  • la signature calligraphique, utilisable pour les fichier PDF. L'image du signataire est ajoutée au sein du PDF. Ca n'est pas, à proprement parler la signature électronique d'un document,
  • la signature électronique au format PAdES, CAdES ou XAdES peut se faire via un certificat X509 téléchargé sur le profil de l'utilisateur ou via une clé cryptographique.

Voici un tableau des formats utilisés en fonction des cas d'usages. Le format XAdES ou CAdES est configuré de manière globale par l'administrateur

...

L'utilisation d'un certificat eIDAs sur support cryptographique nécessite le logiciel NexU.

Esup-Signature gère-t-il L'authentification par SMS pour les personnes extérieures à l'établissement ?

...

Tout comme un email ou même un simple tweet, un document signé manuellement puis simplement scané peut avoir une valeur juridique.

Les actualités, et la jurisprudence qui en découle, nous le prouvent très régulièrement.
Aussi, si vous recherchez en recherchant sur un moteur de recherche à savoir si une signature numérisée a une valeur juridique, il est fort probable que vous tombiez sur des articles et documentation de sites d'éditeurs de logiciel de signature qui vont affirmeront affirmant que ce n'est pas le cas. Si Mais si vous faites la la même recherche sur le fil d'actualités de ce même moteur de recherche, vous serez étonné du nombre de résultats (cas rééls, concrets) vous prouvant tout le contraire ; dont cet exemple sur service-public.fr !
La question qu'on est peut alors se poser est de savoir quel est le degré de confiance que l'on peut accorder à ces éditeurs de logiciel de signature faisant preuve d'une telle désinformation.

A contrario, même un document signé avec un niveau de sécurité le plus élevé possible et avec le logiciel le plus avancé qui soit (dont esup-signature allié à DSS signature (clin d'œil)), peut être contesté : erreur humaine, consentement non éclairé, vice de forme, fraude, preuve de l'identité de l'auteur, abus de confiance, signature sous la contrainte, ... 

...