Cryptographie : Signature numérique et Chiffrement

Cadre légal

Il est important de noter que comme on ne signerait pas manuellement un document illisible, tout document devant être signé numériquement doit être également lisible par le signataire au moment de l'apposition de sa signature.

On ne doit pas signer un document préalablement chiffré. Le chiffrement intervient toujours en dernier.

La signature électronique :

But de la législation : La reconnaissance juridique de la signature électronique au même titre que la signature manuscrite.

La Commission Européenne a édicté en 1999 le cadre nécessaire à la reconnaissance de la signature électronique et, depuis lors, les différents États membres de l'Europe sont en train de procéder à la transposition de cette directive dans leurs lois nationales.

La France, pour sa part, a voté la loi sur la signature électronique en mars 2000 et les décrets ont été publiés un an plus tard :

• La loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique.
• Le décret d'application n° 2001-272 du 30 mars 2001 sur la signature électronique pris pour l'application de l'article 1316-4 du code civil.
• Le décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information.
• La loi du 21 juin 2004 pour la confiance dans l'économie numérique organise notamment le régime de responsabilité des prestataires de services de certification électronique, habilités à délivrer des certificats électroniques qualifiés.
• L'arrêté du 26 juillet 2004 qui met en application la loi du 21 juin 2004.

Le Référentiel général de sécurité (RGS) est créé par l'article 9 de l'ordonnance n° 2005-1516 du 8 décembre 2005.

La version actuelle du RGS (1.0), rendue officielle par arrêté du Premier ministre en date du 6 mai 2010 et publiée, est le résultat d'un travail conjoint entre la Direction générale de la modernisation de l'État (DGME) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

Le chiffrement :

L'usage de PGP (Pretty Good Privacy), un des premiers logiciels de chiffrement disponibles sur Internet, a longtemps été interdit en France, car considéré jusqu'à la rédaction de la loi du 26 juillet 1996, comme une arme de guerre de deuxième catégorie.

La législation française s'est ensuite assouplie en juin 1998, et le chiffrement symétrique avec des clés aussi grandes que 128 bits a été autorisé.

Enfin, la Loi pour la confiance dans l'économie numérique du 21 juin 2004 a totalement libéré l'utilisation des moyens de cryptologie, moyennant le dépot des algorithmes utilisés. En revanche leur importation ou exportation est soumise à déclaration ou autorisation.

Certains logiciels, comme GNU Privacy Guard, peuvent être utilisés avec n'importe quelle taille de clé symétrique.