...
Les signatures électroniques ainsi que leurs validations sont prises en charge par la bibliothèque DSS Signature de la Commission Européenne, voir :
https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/DSS+releases
La documentation de DSS Signature est disponilble ici : https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/doc/dss-documentation.html
L'horodatage des signatures électroniques est assuré par un serveur dont l'adresse est configuré, par défaut, avec le service proposé par la Belgique et présent d'origine dans le projet DSS Signature.
http://tsa.belgium.be/connect
Attention toutefois, ce service est limité à 100 jetons par jours.
Voici une liste de services de timestamps gratuits disponibles (attention, certains ont des restriction d'utilisation) : https://gist.github.com/Manouchehri/fd754e402d98430243455713efada710
Il est, bien sûr, possible d'utiliser un autre service en modifiant l'adresse dans la configuration. Plus de détails ici : Configuration#dss
La conversion des documents est faite via Ghostscript. L'affichage et la manipulation des PDF sont assurés par PDF.js et PDFBox
...
Actuellement plusieurs établissements utilisent esup-signature en production. Certains d'entre eux signent leurs marchés publiques à l'aide de clés cryptographiques et de NexU.
Pourquoi utiliser Esup-Signature plutôt qu'un autre outil ?
...
Les clés cryptographiques (RGS...) sont prises en charge par l'application Esup-DSS-Client associée à DSS pour accéder aux keystores locaux et saisir la passphrase (https://github.com/EsupPortail/esup-dss-client)
Les certificats cachet d'établissement sont pris en charge, coté serveur, pour verrouiller des documents en fin de circuit (pas de passphrase à saisir).
voir Esup-DSS-Client)
| Remarque |
|---|
À l'université de Rouen la signature est concluante avec un certificat obtenu auprès de certinomis : Offre SERVEUR 2 étoiles / Cachet 2 étoiles G2 - sur carte. L'autorité de certification est reconnue par la trustlist française sous le nom "Certinomis - Prime CA G2" Le materiel reçu est une clé Feitian Technologies, Inc. SCR301 avec une carte Gemalto pris en charge par OpenSC (pilote "idprime : Gemalto IDPrime") Vous trouverz la liste des matériels supportés ici : https://github.com/OpenSC/OpenSC/wiki/Supported-hardware-%28smart-cards-and-USB-tokens%29 |
Les certificats cachet d'établissement sont aussi pris en charge, coté serveur, pour verrouiller des documents en fin de circuit (pas de passphrase à saisir).
Quels types de certificats sont pris Quels types de certificats sont pris en charge par Esup-Signature ?
...
- déposer un keystore (magasin de clés au format PKCS12) dans son profil d'Esup-Signature. Le magasin sera stocké dans la base d'Esup-Signature. Le keystore est protégé par un mot de passe, demandé à chaque recours à la signature électronique d'un document,
- vous pouvez utiliser tous les certificats reconnus par le magasin de certificats de Windows et OpenSC à l'aide de l'application Esup-DSS-Client (Esup-DSS-Client)
Pour les certificats cachet, il faudra brancher la clé cryptographique sur le serveur hébergeant esup-signature. Après configuration, la signature avec ce certificat sera disponible de 2 manières :
- par l'utilisateur s'il possède le rôle ROLE_SEAL
- automatiquement en fin de circuit et fonction de la configuration d'esup-signature
Quel contrôle de validité pour les documents signés
Voici comment esup-signature contrôle la validité des signatures :
- Toutes les signatures faites avec un certificat non eIDas sont considérées comme invalide ou partiellement invalide. Cependant cela ne remet pas en cause la valeur juridique de ce type de signature (signature avancée), le document est bien vérouillé.
- Il n'y a pas de contrôle de révocation lors de la signature d'un document avec un certificat que n'est pas dans la trustlist européenne, non eIDas (ni lors de l'ajout du certificat dans le profil de l'utilisateur)
- DSS-Signature contrôle la révocation lors la vérification d'un document signé par un certificat eIDas (signature qualifiée)
Pour les certificats cachet, il faudra brancher la clé cryptographique sur le serveur hébergeant esup-signature. Après configuration, la signature avec ce certificat sera disponible de 2 manières :
- par l'utilisateur s'il possède le rôle ROLE_SEAL
- automatiquement en fin de circuit et fonction de la configuration d'esup-signature
Quel contrôle de validité pour les documents signés ?
Voici comment esup-signature contrôle la validité des signatures :
- Toutes les signatures faites avec un certificat non eIDas sont considérées comme invalide ou partiellement invalide. Cependant cela ne remet pas en cause la valeur juridique de ce type de signature (signature avancée), le document est bien vérouillé.
- Il n'y a pas de contrôle de révocation lors de la signature d'un document avec un certificat que n'est pas dans la trustlist européenne, non eIDas (ni lors de l'ajout du certificat dans le profil de l'utilisateur)
- DSS-Signature contrôle la révocation lors la vérification d'un document signé par un certificat eIDas (signature qualifiée)
En conclusion, le seul moyen d'avoir une signature 100% valide lors de la vérification (tous les voyants au vert), c'est de signer avec un certicat eIDas non révoqué et un timesamps, tous deux présents dans la trustlist européenne (voir "Statut DSS" dans la partie admin)
Est-il possible de "sur-signer" un document déjà signé ?
Oui, il est possible d'ajouter des signatures supplémentaires à un document PDF déjà signé. Les normes AdES, en conformité avec eIDAS, définissent les critères des signatures électroniques avancées, permettant l'ajout de nouvelles signatures sans altérer celles déjà existantes. DSS-Signature, se conformant à ces normes, offre la flexibilité de "sur-signer" un document PDF en ajoutant de nouvelles signatures tout en préservant l'intégrité des signatures précédemment apposées.En conclusion, le seul moyen d'avoir une signature 100% valide lors de la vérification (tous les voyants au vert), c'est de signer avec un certicat eIDas non révoqué et un timesamps, tous deux présents dans la trustlist européenne (voir "Statut DSS" dans la partie admin)
L'archivage légal est-il géré par Esup-Signature?
...