FR2915336A1 - Procede de signature electronique - Google Patents
Procede de signature electronique Download PDFInfo
- Publication number
- FR2915336A1 FR2915336A1 FR0702898A FR0702898A FR2915336A1 FR 2915336 A1 FR2915336 A1 FR 2915336A1 FR 0702898 A FR0702898 A FR 0702898A FR 0702898 A FR0702898 A FR 0702898A FR 2915336 A1 FR2915336 A1 FR 2915336A1
- Authority
- FR
- France
- Prior art keywords
- private key
- environment
- user
- information
- transaction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Abstract
La présente invention concerne un procédé de signature électronique pour une transaction sur des systèmes électroniques, disposant d'une clef publique, d'une clef privée et d'un certificat.L'invention consiste en ce que ledit utilisateur, initiateur de la transaction, à des fins de signature de données, accède à distance à ladite clef privée qui est stockée dans un environnement sécurisé sur un réseau d'échange de données et distant de l'utilisateur de ladite clef privée.Application aux échanges sur Internet.
Description
Procédé de signature électronique
La présente invention concerne un procédé de signature électronique destiné à des transactions sur des systèmes électroniques, disposant d'une clef publique, d'une clef privée et d'un certificat.
Les services en ligne connaissent actuellement un essor très important générant un flux de transactions sur des dispositifs électroniques de plus en plus volumineux. Ces transactions sont constituées d'échanges ou transferts de données mettant en cause au moins un utilisateur identifié.
Ainsi, lors de transactions sur des systèmes électroniques, les risques de fraude sont généralement liés à l'usurpation d'identité (utilisation d'un numéro de carte de bancaire) ou encore au déni de commande, la transaction étant effectuée, l'utilisateur présumé à l'initiative de cette transaction niant l'avoir exécutée.
II est donc nécessaire de pouvoir certifier la transaction. Ainsi, on a proposé une technique de signature électronique définie par un ensemble de normes publiques et de lois, et qui est destinée à être traitée de manière à certifier l'identité d'au moins l'utilisateur à l'initiative de la transaction auprès d'au moins le destinataire de la transaction, cette technique de signature électronique associant une information spéciale à l'information de la transaction.
Ainsi, il existe des procédés de signature avancée mis en oeuvre à l'aide de carte à puce, support cryptographique physique, permettant la fabrication et le stockage sécurisé d'un certificat électronique. De tels procédés de signature présentent de bonnes garanties de sûreté. Son utilisation nécessite toutefois l'installation d'un lecteur de carte à puce sur le poste de l'utilisateur, ce qui reste difficile à mettre en oeuvre.
On connaît également le procédé de signature à la volée, pour lequel un tiers de confiance s'insère en tant que témoin d'une transaction, et ne fait que fournir la traçabilité complète dudit échange sans pour autant constituer d'élément 1
complémentaire d'authentification ou d'identification des parties impliquées, suffisant pour transférer la responsabilité sur le décideur (signataire) de ladite transaction, ceci apporte une plus grande simplicité tout en offrant une authentification, mais sans transfert de responsabilité. Ainsi malgré les solutions proposées, il existe toujours des risques de fraude lors de ces transactions sur des systèmes électroniques, en particulier les dénis de commandes qui sont toujours possibles.
10 Par ailleurs, il existe également des problèmes liés au manque de sécurité des systèmes électroniques avec lesquels sont réalisées ces transactions tels que les ordinateurs personnels qui présentent de multiples failles de sécurité.
La présente invention a donc pour but de proposer un procédé de signature 15 électronique de transaction sur des systèmes électroniques dans lequel on associe la transaction sur le réseau Internet à un utilisateur tel qu'une personne physique et non à une carte et qui permet de certifier et signer la transaction tout en dématérialisant les relations clients.
20 Ainsi, l'invention a pour objet un procédé de signature électronique pour une transaction sur des systèmes électroniques, disposant d'une clef publique, d'une clef privée et d'un certificat, caractérisé en ce que l'utilisateur, initiateur de la transaction et signataire, accède à distance, à des fins de signature de données, à ladite clef privée qui est stockée dans un environnement sécurisé sur un réseau 25 d'échange de données et distant de l'utilisateur de ladite clef privée.
Ainsi de manière avantageuse, ladite clef privée est complètement sécurisée puisqu'à distance de l'utilisateur final qui est l'initiateur de la transaction et le signataire de ladite transaction, et elle est donc protégée. Le procédé selon 30 l'invention propose donc une signature déportée, équivalente à une carte à puce transférée dans le réseau, la carte à puce devenant ainsi virtuelle, ce qui confère à la fois une authentification du porte-clef et un transfert de responsabilité vers celui- ci.
Avantageusement, le procédé selon l'invention permet une signature électronique propre au signataire, permettant de l'identifier, contrôlée exclusivement par ledit signataire et liée aux données auxquelles elle se rapporte, toute modification ultérieure des données étant détectable.
Le procédé de signature électronique selon l'invention permet donc d'assurer la fiabilité du procédé électronique et ainsi être utilisé à des fins de non répudiation des documents signés par l'utilisateur de la clef privée. En particulier, la signature électronique selon le procédé de l'invention est particulièrement avantageuse pour des commandes sur Internet, l'utilisateur final s'engageant ainsi.
Ainsi, lorsqu'une transaction sera effectuée, le site marchand qui peut être un site commercial ou bancaire, émet vers l'initiateur de la transaction un document à signer. L'utilisateur va alors accéder à distance à sa clef privée et s'authentifier sur un environnement sécurisé sur un réseau d'échange tel qu'un serveur sur lequel la clef privée est stockée. Le client signe ensuite le document à distance avec son certificat sur ledit serveur, le document signé est ensuite renvoyé vers le site marchand via l'utilisateur. De préférence, le certificat est conforme à la norme X509.
De manière avantageuse, seul l'utilisateur final, signataire de la transaction, dispose de manière exclusive d'informations pour accéder à distance à ladite clef privée à des fins de signature de données. De ce fait, seul l'utilisateur final dispose du contrôle exclusif de sa signature déportée.
Ainsi, le procédé selon l'invention comporte un étape d'authentification de l'utilisateur encore appelé utilisateur final sur ledit environnement sécurisé, celui-ci disposant de manière exclusive d'informations pour accéder à distance à ladite clef privée à des fins de signature de données.
En particulier, de manière avantageuse, des algorithmes à clef publique sont prévus dans l'environnement sécurisé de stockage (espace de stockage) desdits certificats et clefs privés pour les protéger en local.
Ce contrôle exclusif détenu par l'utilisateur final engendre que, même l'exploitant dudit environnement sécurisé où la clef est stockée ne peut générer de transaction. De ce fait, une signature électronique selon le procédé de l'invention à une valeur probante équivalente à une signature manuscrite.
On peut donc ainsi dématérialiser les relations avec les clients. Le procédé de signature électronique selon l'invention peut alors avantageusement être utilisé à des fins de signature de contrats ou d'avenants de contrats pour des clients déjà existants. Il n'est désormais plus nécessaire d'avoir recours au papier, ni au clef USB ou logiciel spécifique sur le poste de l'utilisateur final.
De manière avantageuse, lorsque l'utilisateur final est une personne physique, lesdites informations pour accéder à distance à ladite clef privée à des fins de signature de données sont constituées d'un code secret, utilisé notamment pour la signature. De même, lorsque l'utilisateur final est lui-même un processus, lesdites informations sont constituées par des données binaires secrètes.
En alternative, les informations peuvent se matérialiser par la détention d'un 25 second dispositif de signature. L'utilisateur (personne physique ou processus) envoie des informations vers l'environnement sécurisé, ces informations lui permettant de s'identifier auprès dudit environnement qui émet alors à destination de l'utilisateur identifié une chaîne de données aléatoires qui lui permettra d'accéder à sa clef privée. 30 Ainsi, de manière très avantageuse, cette forme de réalisation du procédé de signature électronique offre un degré supplémentaire de sécurité. En effet, même si les informations permettant d'accéder à distance à l'environnement sécurisé20 sont subtilisées à l'utilisateur, le fraudeur ne pourra recevoir les données aléatoires en retour.
De préférence, les informations permettant d'accéder à distance à la clé privée 5 sont délivrées par un organisme réputé de confiance dans un cadre protégé.
Cet organisme réputé de confiance peut notamment être un organisme bancaire. Ainsi, lesdites informations d'accès peuvent notamment être identiques aux informations nécessaires à l'accès audit organisme au travers d'un réseau 10 d'échange de données tel qu'Internet.
En variante, on peut prévoir que l'utilisateur final authentifie l'espace de stockage par l'identification d'informations détenues par ledit espace de stockage avant d'accéder à sa clef privée et signer. On évite ainsi tout risque de piratage des 15 informations d'accès à la clé privée, par un faux espace de stockage.
Cet organisme bancaire peut en particulier représenter un organisme de confiance dans une transaction entre l'utilisateur final tel que défini précédemment et un organisme ou une personne tiers, différent de ces derniers. De plus, selon une forme de réalisation, on peut prévoir une étape d'authentification de l'espace de stockage auprès de l'utilisateur, celui identifiant des informations détenues par ledit espace de stockage.
25 De manière avantageuse, l'accès aux dites clefs est interdit depuis l'environnement de stockage.
Le procédé de signature électronique selon l'invention est particulièrement avantageux en ce qu'il permet un archivage légal des données signées, il permet 30 la protection des clefs, du code, il évite l'hameçonnage (fishing) et le rejeu. 20
On décrira maintenant l'invention plus en détails en référence au dessin dans lequel la figure unique représente schématiquement une transaction signée électroniquement par le procédé selon l'invention.
Un utilisateur tel qu'un particulier sur son ordinateur personnel 2 effectue une commande par Internet sur un site marchand 1.
Lorsqu'une commande est effectuée, le site marchand 1 émet (a) vers l'initiateur de la transaction 2 un document à signer telle qu'une confirmation de commande par exemple. L'utilisateur 2 de manière à signer ce document accède à distance (b) à sa clef privée qui se trouve stockée avec le certificat et la clef publique dans un environnement sécurisé sur un réseau d'échange tel qu'un serveur 3. L'utilisateur 2 s'authentifie sur ledit serveur 3 par le biais d'informations qu'il détient de manière exclusive pour accéder ainsi à sa clef privée qui y est stockée.
L'utilisateur 2 signe ensuite le document à distance avec son certificat sur ledit serveur 3, puis le document signé est ensuite renvoyé vers le site marchand 1 via l'utilisateur 2 (c, d). L'invention n'est bien entendu pas limitée à l'exemple donné mais englobe également toutes les variantes décrites dans les revendications dépendantes.20
Claims (14)
1. Procédé de signature électronique pour une transaction sur des systèmes électroniques, disposant d'une clef publique, d'une clef privée et d'un certificat, caractérisé en ce que l'utilisateur, initiateur de la transaction et signataire, accède à distance, à des fins de signature de données, à ladite clef privée qui est stockée dans un environnement sécurisé sur un réseau d'échange de données et distant dudit utilisateur de ladite clef privée.
2. Procédé selon la revendication 1, caractérisé en ce qu'il comporte un étape d'authentification de l'utilisateur encore appelé utilisateur final sur ledit environnement sécurisé, celui-ci disposant de manière exclusive d'informations pour accéder à distance à ladite clef privée à des fins de signature de données.
3. Procédé selon la revendication 2, caractérisé en ce que, lorsque l'utilisateur final est une personne physique, lesdites informations sont constituées d'un code secret utilisé notamment pour la signature.
4. Procédé selon la revendication 2, caractérisé en ce que, lorsque l'utilisateur final est lui-même un processus, lesdites informations sont constituées par des données binaires secrètes. 25
5. Procédé selon la revendication 2, caractérisé en ce que lesdites informations sont constituées par la détention d'un second dispositif de signature.
6. Procédé selon l'une quelconque des revendications précédentes, 30 caractérisé en ce que des algorithmes à clef publique sont prévus dans l'environnement sécurisé de stockage desdits certificats et clefs privés pour les protéger en local. 720
7. Procédé selon l'une des revendications 3 ou 4, caractérisé en ce que les informations permettant d'accéder à distance à la clé privée sont délivrées par un organisme réputé de confiance dans un cadre protégé.
8. Procédé selon la revendication 7, caractérisé en ce que ledit organisme de confiance est un organisme bancaire.
9. Procédé selon la revendication 8, 10 caractérisé en ce que lesdites informations d'accès sont identiques aux informations nécessaires à l'accès audit organisme bancaire au travers d'un réseau d'échange de données notamment Internet.
10. Procédé selon l'une des revendications 8 et 9, 15 caractérisé en ce que l'organisme bancaire représente un organisme de confiance dans une transaction entre l'utilisateur final et un organisme ou une personne tiers différentes de ces derniers.
11. Procédé selon l'une quelconque des revendications précédentes, 20 caractérisé en ce que l'accès aux dites clefs est interdit depuis l'environnement sécurisé de stockage.
12. Procédé selon l'une quelconque des revendications précédentes pour lequel le certificat est conforme à la norme X509.
13. Procédé selon l'un quelconque des revendications 1 à 6, caractérisé en ce que l'utilisateur final s'authentifie auprès de l'organisme de confiance avant de transmettre les informations d'accès à sa clef privée. 30
14. Procédé selon l'une quelconque des revendications 1 à 6, caractérisé en ce que l'utilisateur final authentifie l'environnement sécurisé de stockage par l'identification d'informations détenues par ledit environnement sécurisé de stockage. 25
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0702898A FR2915336A1 (fr) | 2007-04-20 | 2007-04-20 | Procede de signature electronique |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0702898A FR2915336A1 (fr) | 2007-04-20 | 2007-04-20 | Procede de signature electronique |
Publications (1)
Publication Number | Publication Date |
---|---|
FR2915336A1 true FR2915336A1 (fr) | 2008-10-24 |
Family
ID=38792373
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR0702898A Pending FR2915336A1 (fr) | 2007-04-20 | 2007-04-20 | Procede de signature electronique |
Country Status (1)
Country | Link |
---|---|
FR (1) | FR2915336A1 (fr) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002065352A1 (fr) * | 2001-02-15 | 2002-08-22 | Ewise Systems Pty Ltd | Acces au reseau securise |
US20040199774A1 (en) * | 2003-04-07 | 2004-10-07 | Vasileios Zissimopoulos | Secure method for roaming keys and certificates |
US6834112B1 (en) * | 2000-04-21 | 2004-12-21 | Intel Corporation | Secure distribution of private keys to multiple clients |
-
2007
- 2007-04-20 FR FR0702898A patent/FR2915336A1/fr active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6834112B1 (en) * | 2000-04-21 | 2004-12-21 | Intel Corporation | Secure distribution of private keys to multiple clients |
WO2002065352A1 (fr) * | 2001-02-15 | 2002-08-22 | Ewise Systems Pty Ltd | Acces au reseau securise |
US20040199774A1 (en) * | 2003-04-07 | 2004-10-07 | Vasileios Zissimopoulos | Secure method for roaming keys and certificates |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20180359092A1 (en) | Method for managing a trusted identity | |
AU2004239738B2 (en) | Method and apparatus for authentication of users and web sites | |
RU2448365C2 (ru) | Устройство и способ защищенной передачи данных | |
Kim et al. | Risk management to cryptocurrency exchange and investors guidelines to prevent potential threats | |
EP2619941B1 (fr) | Procede, serveur et systeme d'authentification d'une personne | |
EP2614458B1 (fr) | Procede d'authentification pour l'acces a un site web | |
FR2958101A1 (fr) | Infrastructure de gestion de bi-cles de securite de personnes physiques (igcp/pki) | |
EP1159801B1 (fr) | Procede de verification de signature d'un message | |
WO2007012583A1 (fr) | Procede de controle de transactions securisees mettant en oeuvre un dispositif physique unique, dispositif physique, systeme, et programme d'ordinateur correspondants | |
EP3446436B1 (fr) | Procédé d'obtention par un terminal mobile d'un jeton de sécurité | |
EP2071487A1 (fr) | Procédé de sécurisation des accès à un objet électronique connecté à un ordinateur | |
EP3586258B1 (fr) | Système d'authentification à clé segmentée | |
WO2003107587A1 (fr) | Procede et dispositif d’interface pour echanger de maniere protegee des donnees de contenu en ligne | |
WO2019129937A1 (fr) | Contrôle d'intégrité d'un dispositif électronique | |
FR2915336A1 (fr) | Procede de signature electronique | |
CA2831167C (fr) | Infrastructure non hierarchique de gestion de bi-cles de securite de personnes physiques ou d'elements (igcp/pki) | |
FR2786049A1 (fr) | Procede de cryptographie a cle dynamique | |
WO2017005644A1 (fr) | Procédé et système de contrôle d'accès à un service via un média mobile sans intermediaire de confiance | |
GB2594073A (en) | A security system | |
FR3007929A1 (fr) | Procede d'authentification d'un utilisateur d'un terminal mobile | |
FR3027427A1 (fr) | Systeme et procede de securisation et de mise a disposition de courriels | |
Chesher et al. | Securing e-Business |