WO2002063440A1 - Dispositif d'obliteration et de signature manuelle de documents electroniques, securise par carte a puce, cle publique et tiers de sequestre - Google Patents

Dispositif d'obliteration et de signature manuelle de documents electroniques, securise par carte a puce, cle publique et tiers de sequestre Download PDF

Info

Publication number
WO2002063440A1
WO2002063440A1 PCT/FR2001/000632 FR0100632W WO02063440A1 WO 2002063440 A1 WO2002063440 A1 WO 2002063440A1 FR 0100632 W FR0100632 W FR 0100632W WO 02063440 A1 WO02063440 A1 WO 02063440A1
Authority
WO
WIPO (PCT)
Prior art keywords
document
documents
signature
user
authenticity
Prior art date
Application number
PCT/FR2001/000632
Other languages
English (en)
Inventor
Jacques Potier
Michel Quentin
Original Assignee
Epicture Certification.Com
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=8859656&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=WO2002063440(A1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Epicture Certification.Com filed Critical Epicture Certification.Com
Publication of WO2002063440A1 publication Critical patent/WO2002063440A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/389Keeping log of transactions for guaranteeing non-repudiation of a transaction
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/12Card verification
    • G07F7/125Offline card verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Definitions

  • the technical field of the invention relates to the certification of electronic documents.
  • the object of this invention is to use the metaphor of the obliteration of a document by a stamp imprint which can itself be associated with a handwritten signature and relying on the asymmetric public key encryption mechanisms to guarantee their authenticity and make their repudiation impossible.
  • the technique used in the field of document certification relies on asymmetric public key mechanisms to ensure authentication and non-repudiation and on symmetric key mechanisms to ensure the permanent confidentiality of links between systems.
  • These public key mechanisms are implemented in exchanges between systems so as to guarantee to the receiving system the authenticity of the message sent by the sending system. After verification and recognition by decryption of the certificate, the requested system returns its certificate accompanied by a symmetric secret key in order to create a confidential bilateral relationship.
  • the security mechanism implemented during the exchange concerns the sharing of a common secret between two systems making it possible to establish and maintain bilateral confidentiality for the duration of the session. In this context, the authenticity of the documents is guaranteed by the implementation of exchange protection.
  • a user A has a public key document encryption system whose public key and certificate are available from a trusted third party. Any user B who wants to communicate a document with user A can request the public key and the certificate of this user A from the trusted third party. This trusted third party will send this key and this certificate to user B according to a protocol guaranteeing its authenticity. User B is able to verify the authenticity of the document sent by User A using the public key to decipher the digital signature which accompanies the document which has reached it.
  • the establishment of the proof is done by the comparison and the control of the equivalence between the decryption of the digital signature received by the user B containing the digest of the document obtained by a process of hashmg SHA-1 (Secure Hashing Algo ⁇ t m -1) OR MD-5 (Message D ⁇ gest-5) and encrypted by user A and condensed by hashing of the document actually received by user B.
  • the digital signature also contains the certificate of the sending user which allows thus to user B to verify the origin of the sender of the document.
  • Managing public key certificates includes certificate requests, processing certificates in a request to respond to a certificate request, and exchanging certificates between partners. These mechanisms guarantee management of public keys so as to assure any user of the authenticity of the certificates. This guarantee of authenticity makes it possible to satisfy the level of confidence necessary for the authentication of documents by public keys.
  • the procedures for signing and authenticating the documents are only implemented in exchange mechanisms. The nature of these mechanisms does not allow the veracity of a document to be checked throughout its lifespan, the time of which exceeds the duration of the contractual exchange between the stakeholders. Indeed, these mechanisms implement, on a cyclical basis, the certificates of the users or the sender and receiver systems for the sole purpose of making the exchange of information secure and not repudiable at the time of the exchange.
  • the document has no value of its own and cannot be subject to any evolving intrinsic evaluation.
  • the document can not be subject to any obliteration, nor to any visible or invisible signature in the long term over its entire life cycle, which does not allow to have indisputable intrinsic indications concerning the document.
  • No mark m no information being intrinsically available on the document itself, the document cannot be used automatically in an automated process.
  • the signature affixed by the users is only with the help of technical procedures which can be used without the knowledge of the user because this process is best based on the possession of a smart card and a secret code for activating the card that the user must remember and hit on a keyboard.
  • the implementation of such a mechanism outside the control of the card holder user is a weakness of the electronic signature mode alone, which shows that it is necessary to supplement it with a mode of materialization of the active personal commitment that the user can demonstrate as permitted by the handwritten signature.
  • the handwritten signature can be the subject of an expert opinion which ensures that the author is indeed the one claimed by the indication of the undersigned and turns out to be the means of verifying the free will of the signatory at the time of his act (a hesitant signature is proof of a probable loss of freedom of action).
  • the device for obliterating electronic documents - the device for verifying fingerprints and signatures
  • the purpose of the obliteration device is to affix fingerprints on electronic documents using a representation of fingerprints produced using an electronic artifact of buffer.
  • the canceled document may possibly be overloaded with the manual signature that the user will have scanned using a writing scanning tablet.
  • This obliterated and possibly signed electronic document can then be transmitted to another user in electronic form. This new user can see that the document has been canceled and signed manually by the previous user. This user may therefore presuppose that the document has undergone, as in the real physical world, an obliteration and signature action on the part of the signatory user.
  • the fingerprints deposited on the documents allow a piloting device to know their state and thus to circulate them possibly by distributing them in the mailboxes of the persons authorized to receive them to complete their state.
  • FIG. 1 shows the cancellation system composed of the cancellation device, the device for sequestering stamp imprints and signatures and the device for storing and returning documents.
  • the smart card is introduced by the user, a password allows the user to authenticate, which makes it possible to activate the obliteration device in the editing tool ( Figure 1 reference 1).
  • the obliteration device sends back a signature to the chip card in order to check the authenticity of the obliteration device.
  • the obliteration device can receive documents either by direct access (figure 1 reference 3) to the document storage and return device, or by the mailbox which contains the documents received by the user (figure 1 reference 2) .
  • the mailbox and the document storage and retrieval system check the identity of the user upon receipt of his certificate.
  • the mailbox or document storage and retrieval device provides the documents authenticated by the accompanying signatures. These signatures are verified using the fingerprint and signature verification device.
  • the device for sequestration of the stamp imprints and manual signatures receives the stamp imprints (figure 1 reference 4) and the manual signatures encrypted in return the sequestration device sends to the obliteration device additional footprint encrypted by the sequestration system. This additional imprint will be integrated into the imprint and the signature affixed to the document.
  • the canceled document is returned to the document storage and return device ( Figure 1, reference 5). A canceled document is not changed.
  • Figure 2 shows the stamp and signature verification system. It is made up of the device for checking the stamp and the signature and the device for sequestering the imprints of the stamp and the signature.
  • An autonomous validation of the fingerprints and manual signatures of the document when it is possible is a weak validation (figure 2 reference 4).
  • a validation under the control of the sequestration device (Figure 2 reference 3) is a strong validation ( Figure 2 reference 5).
  • the fingerprint and signature verification device is systematically activated when the cancellation device is activated. The user inserts the smart card into the reader and then authenticates with his password.
  • the fingerprint and signature verification device ( Figure 2 reference 1) is then activated.
  • the fingerprint and signature verification device sends back a signature to the smart card in order to check the authenticity of the fingerprint and signature verification device.
  • Figure 3 shows the document flow control system. It is made up of the document control device which receives the fingerprint states (Figure 3, reference 2) from the document storage and retrieval device. The fingerprints of the documents are interpreted to control the document flows (figure 3 references 3 and 4) in order to feed the mailboxes (figure 3 reference 5).
  • Figure 4 shows the smart card allowing the user to activate the devices.
  • This card contains the executable software verification algorithm and a memory area.
  • This memory area contains the following information:
  • the vectorial representation of the stamp imprint is used by the obliteration device to provide a personalized imprint containing the acronym of the company, its name and its address inside d '' an imprint of particular shape in as part of a corporate presentation charter.
  • the information contained in the card is held by a trusted third party who stores historical information on user cards.
  • This trusted third party can provide the public keys and certificates contained in a user's card from the indication of the expiry date of this card, the user identifier is also necessary to have the user's public key and certificate.
  • the screen printing of the card shows the graphics of the imprint of the stamp, the date on which the card expires, the quality (civility), the surname and the first name of the user are indicated.
  • FIG. 5 shows the device for verifying fingerprints and signatures.
  • the user Upon introduction of the smart card, the user enters the password associated with the card to authenticate and activate it.
  • the fingerprint and signature verification device and the obliteration device are authenticated by the smart card (FIG. 5 reference 1) and (FIG. 6 reference 1) as follows: the smart card sends a code to the device which in return must provide the encrypted code. If the decrypted code corresponds to that expected by the smart card, the device will be deemed authentic, otherwise, the smart card will temporarily no longer issue certificates. Three vain requests of the smart card leads to the final destruction of its memory area.
  • the device receives the document to be checked via the document editing tool using which the document is returned either from the mailbox or from the storage and retrieval device.
  • the fingerprint and signature verification device sends the encrypted user's certificate contained in the smart card to the storage device or to the mailbox ( Figure 5 references 2 and 5).
  • the identity of the user recognized by decryption, the storage and return device or the letter box delivers the requested documents ( Figure 5 references 3 and 4).
  • the fingerprint and signature verification device sends its encrypted certificate so that the trusted third party can verify the identity of the requesting user.
  • the trusted third party returns in encrypted form using their public key, their certificate and a symmetric secret key which will then be used to ensure the confidentiality of the exchange.
  • the fingerprint and signature verification device decrypts the certificate and the symmetric secret key.
  • the device (for fingerprint and signature verification) records the identifier and expiration date of the smart card that enabled the creation of the fingerprint for each user who has deposited a fingerprint on the document and verifies that it holds their certificate.
  • the fingerprint and signature verification device issues a request secured by the shared symmetric secret key concerning the certificates that it does not hold, specifying the user identifier and the expiration date of the smart card having enabled the creation of the imprint, in order to complete its library of certificates ( Figure 5, reference 6), with a trusted third party.
  • the trusted third party returns by symmetric secret key, the certificates expired or not, depending on whether the user certificate which presided over the preparation of the stamp imprint is also expired due to the age of the imprint or no.
  • the certificates associated with the user's certificate must be considered valid within the period of 6 months before the expiry date of the certificate's validity user.
  • the certificates that will be provided by the trusted third party will be the user certificate and the certificate of the sequestration device (Figure 5 reference 7).
  • the fingerprint and signature verification device checks the authenticity of each fingerprint using the public keys of the certificates. To do this and for each fingerprint, the device checks the identity between the digest of the document produced using an algorithm (SHAl -Secure Hashing Algorithm or MD5 - Message Digest-5 -) and the encrypted digest decoded at l using the public key available in the user's certificate, in effect at the time of the creation of - 12 - fingerprints and signatures either from the mailbox or from the storage and retrieval device according to the methods previously described ( Figure 6 references 2, 3, 4, 5).
  • algorithm SHAl -Secure Hashing Algorithm or MD5 - Message Digest-5 -
  • the sequestration device is linked to the fingerprint and signature verification device, the cancellation device resumes the secret communication established with the sequestration device by recovering the symmetric secret key, the fingerprint verification device and signatures communicate the rank that the new cancellation will have to hold.
  • the obliteration device takes hold of the control panel and erases all areas of the banner and indicates the row of obliteration that the new fingerprint will hold, switches the indicator light to green, indicating that the chip card is in place and that the exchange between the obliteration device and the sequestration device is effective (Figure 6 references 9 12 and 13), and transforms the pointing system used by the user in the document editing tool into a stamp icon when it moves over the document (figure 10, reference 4).
  • the cancellation device and the receivership device must continue to share the symmetric secret key and the cancellation session number and the smart card must remain in place and be active. If for any reason at least one of the resources were permanently lacking (greater than a few seconds) or could no longer share the information with the obliteration device, the indicator light on the control panel would turn red and the buffer icon would disappear in favor of a normal arrow cursor. This would indicate the premature end of the obliteration process and the obligation to repeat the operation from the beginning. In the case of normal operation, the relationship is established with the sequestration device and the smart card is in place, the user can cancel the document when the buffer icon appears. The user chooses a place on the document that appears to him on - 13 - more suitable for receiving the stamp imprint, on the edge of the document for example.
  • the user requests the obliteration device by activating the pointing device on the location of the documents which seems suitable for receiving the stamp imprint
  • the obliteration device supplies to the sequestration device in confidential mode by symmetric shared secret key encryption (FIG. 6, reference 10):
  • the device acknowledges receipt of information (figure 6, reference 11) by returning:
  • the sequestration device creates, under this session number, a context for the user allowing the storage of information received, awaiting the sequestration.
  • the cancellation session number is a unique number for all the cancellations. This whole number is issued by a - 14 - counter whose increment value is one at each obliteration session creation event. This cancellation session number must be issued by the sequestration system.
  • the cancellation device On receipt of information from the sequestration device, the cancellation device completes the control panel ( Figure 6, reference 12) with the current cancellation session number, its date and its start time.
  • the obliteration device asks the user to enter the comments that will be visible under the stamp and to make a signature on the tablet to digitize the writing (figure 6 reference 18), the user can cancel this request and the imprint will not include a signature or on the contrary, the user will affix his manual signature (Figure 6, reference 14).
  • a graphic signature scanning window opens and activates the writing scanning tablet made available to the user ( Figure 11, reference 3). The user deposits his manual signature on the scanning tablet.
  • the kinetic and geometric characteristics of the signature are recorded by the obliteration and signature device in the form of a sequence of successive positions of the tip of the electronic stylograph on the digital tablet at a sampling frequency of 100 coordinates / second of the start to end of signature time.
  • This information is sent to the sequestration device for further analysis by expert graphologists.
  • the obliteration and signature device produces a static signature image composed of dots. To do this, when the signature processing window is closed, the cancellation device recovers the graphic charter from the stamp imprint contained in the user's smart card and enhances it with the data acquired.
  • the imprint consists of an image of dots. It is the result of the fusion between the image of points representing the signature obtained from the digitization of the manual signature of the user, the comments also transformed into images of points and the valued signature also transformed into image of points . This visible imprint is the one that will be deposited on the document.
  • the obliteration device sends, under the identifier of the obliteration session number, to the sequestration device in a secure exchange by symmetric secret key:
  • the sequestration device stores the information definitively in a secure area under a double access key composed of the user identifier and the cancellation session number. The following information:
  • the obliteration device receives from the sequestration device the validation of the sequestration and the information that will enable it to definitively constitute the imprint.
  • the sequestration device sends the following information, encrypted using its asymmetric secret key, under the identifier of the cancellation session number in a secure exchange using a symmetric secret key ( Figure 6, reference 16):
  • FIG 7 shows what is the structure of the welcome document necessary for the integration of the document itself and of the fingerprints and signatures.
  • This document is made up of a document that can contain several documents, each of these documents being accompanied by its own editing and extraction tool (Figure 7, reference 1).
  • the implementation of the welcome document editing tool makes it possible to have the documents assembled on the screen and on paper ( Figure 7 reference 2). It is this editing tool that allows the user to edit the assembly result on paper or on the screen.
  • the use of specialized editing and extraction tools according to the documents received makes it possible to dispose of the documents independently of each other. These tools allow you to extract without modification the documents that have been - 17 - introduced in the welcome document and to use them independently of the welcome document, (figure 7 references 3 and 4).
  • Figure 8 shows the document showing the fingerprint and signature. It is represented in the figure in logical edited form. It is made up of 2 parts: an editable and printable visible part which represents the stamp imprint and the signature formed by a graphic of dots.
  • FIG. 10 shows the integration of the control panel of the fingerprint and signature verification and cancellation device inside an editing tool (FIG. 10 reference 1).
  • the push button whose icon represents a stamp is active and it is requested (figure 9 reference 2), that is to say that the document is valid and that the activity of the obliteration device with the escrow is active and the smart card is in place, the worm light being on (figure 9 reference 3)
  • the icon of the editor's pointing device is transformed into a buffer, (figure 9 reference 4)
  • Figure 11 shows the appearance of the signature scanning window activating the scanning tablet and the repetition of the capture of the manual signature in the validation window (Figure 11 reference 3)
  • the presence of the green indicator lights ( Figure 11 reference 2) and the presence of the oscillating buffer icon like the graphic pointer system shows that the system is progressing.
  • Figure 12 shows the removal of the imprint and signature at the previously chosen location ( Figure 12 reference 1).
  • This stamp can be moved using the pointer system on the document as long as the indicator light is green (figure 12 reference 2).
  • the final impression of the stamp takes place when the validation sent by the user is sent using his pointing system.
  • the document thus completed is saved by the user in the storage and retrieval device.
  • FIG. 13 shows how the device for controlling document flows works on the basis of the information made available by the document storage and retrieval device.
  • An initially created and signed document is introduced into the document storage and retrieval system.
  • This document can be a photograph whose stamp imprint could have been produced from the signature (encrypted digest) - 19 - produced by the digital camera ( Figure 13 reference 1).
  • the document arrives in the airlock, the document is stored in the document storage and retrieval device after being encapsulated as it passes through the entry airlock inside a reception document as described above taking the name of the document it encapsulates and a first imprint specifying In Clear:
  • the catalog sends an event to the document flow control automaton, each time a new document arrives.
  • the document flow control machine extracts the document from storage if it is listed in the rules as having to be put into circulation (Figure 13, reference 9).
  • the rules are accompanied by comments to be included in messages to users who will receive the documents in their mailbox.
  • the rules specify the mailbox (es) concerned by the distribution of the document, (figure 13 reference 8.
  • the distribution addresses are entrusted to the document flow management engine (figure 13 reference 12) as well as the documents (figure 13 reference 10)
  • the document arrives on the user's mailbox which can, as soon as it is authenticated by his smart card, perform any obliteration and signature for which he is responsible figure 13 reference 13 ).
  • the production of the devices is supported by computer platforms.
  • the devices for obliterating and verifying fingerprints and signatures are integrated into a market document editor of the WORD TM type operating on a microcomputer.
  • the sequestration devices and the storage and retrieval device are server platforms accessible by the workstation via an INTERNET network.
  • the document flow control device can be housed on the storage and retrieval platform.
  • the document flow management engine to be obliterated and signed can take the form of INTERNET messaging under SMTP.
  • Mailboxes are the POP contact points for SMTP mail.
  • the constituent documents are of all possible types, whether images, graphic or textual documents, sounds, - 21 - videos, ...) in particular, they may be documents .jpg • These documents must satisfy specific technical construction rules which must make it possible to integrate different documents into the same structure, keeping them jointly editable and respecting the integrity of their physical structure, the reception document forming a receptacle for documents composed of the main document, (or) stamps, (or) signatures and additional information associated.
  • Such a welcome document corresponds to the mode of operation in OLE TM mode (Object Linking and Embedding) which allows the documents received to be encapsulated in the form of editable objects without the documents received undergoing any modification.
  • a WORD TM document can contain several .jpg documents in OLE TM links which can overlap each other during editing and printing.
  • a .jpg document is the reference document and the other .jpg documents contain the fingerprints, the signature, the comments and the invisible zone as described in figure 9.
  • the WORD TM document is editable and printable globally.
  • the WORD TM document can therefore be used to transport the - 22 - documents while making it possible to carry out checks on the authenticity of the objects that this document contains by carrying out on the one hand the extraction in WORD TM of the main document and on the other hand the extraction in WORD TM of the document containing all visible or invisible fingerprint information.
  • the digest of the main document -jpg is compared to the decrypted digest contained in the invisible part extracted from the non-graphic .jpg document to check the authenticity of the document.
  • the invisible part of the fingerprint is structured in XML in order to facilitate the search for data in the various devices. This XML structure makes it possible to immediately have exportable structure to constitute the catalog of documents.
  • the manual signature is broken down into a sequence of point coordinates sampled at 100 points per second between the start and the end of the signature.
  • This sequence deposited in the server of the third party of sequestration can be easily transformed into MPEG3 to be viewed in a video editor available on microcomputer. Experts thus have a means of recognizing the user through the way in which they sign.
  • a signature deposit with the third party escrow server using the same process can facilitate recognition of the authenticity of a user's signature.
  • the industrial and service areas of application cover the qualification and certification of photographs, sounds, plans, videos, by experts for legal or insurance decision-making purposes.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

Le dispositif permet d'utiliser la métaphore de l'empreinte de tampon et de la signature manuelle pour réaliser un service nouveau dans le domaine de la certification documentaire. Le dispositif permet de visualiser toutes les interprétations successives, toutes les remarques et les commentaires concernant le document en cours de certification et d'expertise. Il permet à l'utilisateur d'être sûr que ces informations portent bien sur le document sans répudiation possible. Le dispositif renforce la sécurité de la signature dans une infrastructure à clé publique en permettant de disposer d'une mise sous séquestre de la signature manuelle de l'utilisateur sous une forme dynamique facilitant le travail des experts graphologues, si nécessaire. Le dispositif permet de gérer les flux de documents et des actions à entreprendre en fonction des différentes validations et expertises subies par le document lui même.

Description

DISPOSITIF D'OBLITERATION ET DE SIGNATURE MANUELLE DE DOCUMENTS ELECTRONIQUES, SECURISE PAR CARTE A PUCE, CLE PUBLIQUE ET TIERS DE SEQUESTRE
Le domaine technique de l'invention porte sur la certification de documents électroniques. Cette invention a pour objet d'utiliser la métaphore de l'oblitération d'un document par une empreinte de tampon pouvant elle-même être associée à une signature manuscrite et s 'appuyant sur les mécanismes de chiffrage à clé publique asymétrique pour garantir leur authenticité et rendre impossible leur répudiation.
La technique utilisée dans le domaine de la certification de documents s'appuie sur des mécanismes à clé publique asymétrique pour assurer 1 'authentification et la non répudiation et sur des mécanismes à clé symétrique pour assurer la permanence de la confidentialité des liaisons entre systèmes. Ces mécanismes à clé publique sont mis en œuvre dans les échanges entre systèmes de façon à garantir au système récepteur l'authenticité du message envoyé par le système émetteur. Après vérification et reconnaissance par déchiffrement du certificat, le système sollicité renvoie son certificat accompagné d'une clé secrète symétrique afin de créer une relation bilatérale confidentielle. Le mécanisme de sécurité mis en œuvre au cours de l'échange porte sur le partage d'un secret commun entre deux systèmes permettant d'établir et de maintenir pendant toute la durée de la session, une confidentialité bilatérale. Dans ce cadre, l'authenticité des documents est garantie par la mise en œuvre d'une protection de 1 ' échange .
Dans les systèmes les plus élaborés, un utilisateur A dispose d'un système de chiffrement de document à clé publique dont la clé publique et le certificat sont disponibles auprès d'un tiers de confiance. Tout utilisateur B qui voudra communiquer un document avec l'utilisateur A pourra demander la clé publique et le certificat de cet utilisateur A au tiers de confiance. Ce tiers de confiance fera parvenir cette clé et ce certificat à l'utilisateur B selon un protocole garantissant son authenticité. L'utilisateur B est en mesure de pouvoir vérifier l'authenticité du document envoyé par l'utilisateur A en utilisant la clé publique pour déchiffrer la signature numérique qui accompagne le document qui lui est parvenue. L'établissement de la preuve se fait par la comparaison et le contrôle de l'équivalence entre le déchiffrage de la signature numérique reçue par l'utilisateur B contenant le condensé du document obtenu par un procédé de hashmg SHA-1 (Secure Hashing Algoπt m-1) OU MD-5 (Message Dιgest-5) et chiffré par l'utilisateur A et le condensé par hashing du document effectivement reçu par l'utilisateur B. La signature numérique contient par ailleurs le certificat de l'utilisateur émetteur qui permet ainsi à l'utilisateur B de vérifier l'origine de l'émetteur du document.
La gestion des certificats à clé publique comprend les demandes de certificats, le traitement des certificats dans une demande de réponse à une demande de certificat et l'échange de certificats entre partenaires. Ces mécanismes garantissent une gestion des clés publiques de nature à assurer tout utilisateur de l'authenticité des certificats. Cette garantie d'authenticité permet de satisfaire Je niveau de confiance nécessaire à 1 'authentification des documents par les clés publiques. II apparaît cependant que les procédés permettant de signer et d'authentifier les documents ne sont mis en œuvre que dans des mécanismes d'échange. La nature de ces mécanismes ne permet pas de contrôler la véracité d'un document tout au long de sa durée de vie dont le temps dépasse la durée de l'échange contractualisé entre les parties prenantes. En effet, ces mécanismes mettent en œuvre, de manière conjoncturelle, les certificats des utilisateurs ou des systèmes émetteur et récepteur à seules fins de rendre l'échange d'informations sécurisé et non répudiable à l'instant de l'échange. Le document n'a aucune valeur propre et ne peut faire l'objet d'aucune évaluation intrinsèque évolutive. Le document ne peut faire l'objet d'aucune oblitération, ni d'aucune signature visible ou invisible à long terme sur l'ensemble de son cycle de vie ce qui ne permet pas de disposer d'indications intrinsèques indiscutables concernant le document. Aucune marque m aucune information n'étant disponible intrinsèquement sur le document lui-même, le document n'est pas exploitable automatiquement dans un processus automatisé. Par ailleurs, la signature apposée par les utilisateurs, ne l'est qu'à l'aide de procèdes techniques qui peuvent être utilisables à 1 ' insu de l'utilisateur du fait que ce procédé s'appuie au mieux sur la détention d'une carte à puce et d'un code secret d'activation de la carte que l'utilisateur doit se remémorer et frapper sur un clavier. On peut cependant considérer que la mise en œuvre d'un tel mécanisme en dehors du contrôle de l'utilisateur titulaire de la carte, est une faiblesse du mode de signature électronique seul, ce qui montre qu'il est nécessaire de le compléter par un mode de matérialisation de l'engagement personnel actif que l'utilisateur peut démontrer tel que le permet la signature manuscrite. De plus, la signature manuscrite peut être l'objet d'une expertise qui assure que l'auteur est bien celui prétendu par l'indication du sous signé et se révèle être le moyen de vérifier le libre arbitre du signataire au moment de son acte (une signature hésitante est une preuve d'une perte vraisemblable de liberté d'action).
Il s'agit d'offrir un dispositif qui permette à l'utilisateur d'utiliser un outil selon la métaphore de l'empreinte d'oblitération, associée à sa signature manuelle et apposées sur les documents papiers.
L'utilisateur visualise directement sur écran ou sur papier, l'empreinte du tampon et la signature en surimpression sur le document. Un mécanisme de signature électronique fondée sur un certificat à clé publique permet de garantir les informations portées par l'empreinte ainsi que la validité technique de la signature manuelle. La signature manuelle peut faire à tout moment l'objet d'une expertise afin d'en vérifier son authenticité. On distinguera dans le système les dispositifs suivants :
- le dispositif d'oblitération des documents électroniques, - le dispositif de vérification des empreintes et des signatures,
- le dispositif de mise sous séquestre des empreintes et des signatures,
- le dispositif de stockage des documents - le dispositif de gestion des flux de documents.
Le dispositif d'oblitération a pour objet d'apposer des empreintes sur les documents électroniques en utilisant une représentation d'empreinte produite à l'aide d'un artefact électronique de tampon. Le document oblitéré pourra éventuellement être surchargé de la signature manuelle que l'utilisateur aura numérisée à l'aide d'une tablette de numérisation d'écriture. Ce document électronique oblitéré et éventuellement signé, peut alors être transmis à un autre utilisateur sous forme électronique. Ce nouvel utilisateur peut constater que le document a été oblitéré et signé manuellement de l'utilisateur précédent. Cet utilisateur pourra donc présupposer que le document a bien subi comme dans le monde physique réel une action d'oblitération et de signature de la part de l'utilisateur signataire.
Les empreintes déposées sur les documents permettent à un dispositif de pilotage de connaître leur état et ainsi de les faire éventuellement circuler en les distribuant dans les boîtes aux lettres des personnes habilitées à les recevoir pour compléter leur état.
La figure 1 montre le système d'oblitération composé du dispositif d'oblitération, du dispositif de mise sous séquestre des empreintes de tampon et des signatures et du dispositif de stockage et de restitution des documents. Ces trois dispositifs permettent de produire un document oblitéré et signé manuellement tenant compte en même temps des modalités de signature électronique fondé sur la norme X509 V3 des certificats. La carte à puce est introduite par l'utilisateur, un mot de passe permet à l'utilisateur de s'authentifier, ce qui permet d'activer le dispositif d'oblitération dans l'outil d'édition (figure 1 référence 1) . Le dispositif d'oblitération envoie en retour une signature à la carte à puce afin de contrôler l'authenticité du dispositif d'oblitération. Le dispositif d'oblitération peut recevoir des documents soit par accès direct (figure 1 référence 3) au dispositif de stockage et de restitution des documents, soit par la boîte aux lettres qui contient les documents reçus par l'utilisateur (figure 1 référence 2). La boîte aux lettres et le dispositif de stockage et de restitution des documents contrôlent l'identité de l'utilisateur à la réception de son certificat. En retour, la boîte aux lettres ou le dispositif de stockage et de restitution des documents fournit les documents authentifiés par les signatures qui les accompagnent. Ces signatures sont vérifiées à l'aide du dispositif de vérification des empreintes et des signatures.
A l'oblitération, le dispositif de mise sous séquestre des empreintes de tampon et des signatures manuelles reçoit les empreintes de tampon (figure 1 référence 4) et les signatures manuelles chiffrées en retour le dispositif de mise sous séquestre fait parvenir au dispositif d'oblitération un complément d'empreinte chiffrée par le dispositif de mise sous séquestre. Ce complément d'empreinte sera intégré à l'empreinte et à la signature apposée sur le document. Le document oblitéré est retourné au dispositif de stockage et de restitution de documents (figure 1 référence 5). Un document faisant l'objet d'oblitérations n'est pas modifié.
La figure 2 montre le système de vérification de tampon et de signature. Il est composé du dispositif de vérification du tampon et de la signature et du dispositif de mise sous séquestre des empreintes du tampon et de la signature. Une validation autonome des empreintes et signatures manuelles du document lorsqu'elle est possible est une validation faible (figure 2 référence 4). Une validation sous le contrôle du dispositif de mise sous séquestre (figure 2 référence 3) est une validation forte (figure 2 référence 5) . Le dispositif de vérification des empreintes et de signatures est systématiquement activé à l'activation du dispositif d'oblitération. L'utilisateur introduit la carte à puce dans le lecteur puis s'authentifie par son mot de passe. Le dispositif de vérification des empreintes et des signatures (figure 2 référence 1) est alors activé. Le dispositif de vérification des empreintes et des signatures envoie en retour une signature à la carte à puce afin de contrôler l'authenticité du dispositif de vérification des empreintes et des signatures.
La figure 3 montre le système de pilotage des flux de documents. Il est composé du dispositif de pilotage des documents qui reçoit les états des empreintes (figure 3 référence 2) du dispositif de stockage et de restitution des documents. Les empreintes des documents sont interprétées pour piloter les flux de documents (figure 3 référence 3 et 4)afin d'alimenter les boîtes aux lettres (figure 3 référence 5) .
La figure 4 montre la carte à puce permettant à l'utilisateur d'activer les dispositifs.
Cette carte contient l'algorithme exécutable de vérification des logiciels et une zone mémoire. Cette zone mémoire contient les informations suivantes :
- La date expiration de la carte qui a pour valeur le minima des dates d'expiration des certificats contenus dans la carte.
- Le certificat de l'organisme certificateur
- La date d'expiration du certificat
- L'identité de l'organisme certificateur
- La clé publique du tiers de confiance
- Le mot de passe carte utilisateur
- L' identifiant carte utilisateur
- La qualité de utilisateur (ou civilité)
- L' identité utilisateur - L'identité société utilisateur
- Le certificat utilisateur
- La date expiration
- La clé publique - La clé secrète utilisateur
- Le certificat du serveur de mise sous séquestre
- La date expiration
- La clé publique
- Le certificat des dispositifs logiciels
- La date expiration
- La clé publique
- La représentation vectorielle de l'empreinte du tampon La représentation vectoriel de l'empreinte du tampon est utilisée par le dispositif d'oblitération pour fournir une empreinte personnalisée reprenant le sigle de l'entreprise, son nom et son adresse à l'intérieur d'une empreinte de forme particulière dans le cadre d'une charte de présentation de l'entreprise.
A l'exception de la clé secrète qui n'est présente que dans la carte à puce, les informations contenues dans la carte sont détenues chez le tiers de confiance dépositaire des informations historiques des cartes utilisateurs. Ce tiers de confiance peut fournir les clés publiques et les certificats contenus dans la carte d'un utilisateur à partir de l'indication de la date de fin de validité de cette carte, l'identifiant de l'utilisateur étant de surcroît nécessaire pour disposer de la clé publique et du certificat de l'utilisateur.
La sérigraphie de la carte reprend le graphisme de l'empreinte du tampon, la date à laquelle la carte expire, la qualité (civilité) , le nom et le prénom de l'utilisateur sont indiqués.
La figure 5 montre le dispositif de vérification des empreintes et des signatures. A l'introduction de la carte à puce, l'utilisateur saisit le mot de passe associé à la carte pour s'authentifier et l'activer. Le dispositif de vérification des empreintes et des signatures et le dispositif d'oblitération sont authentifiés par la carte à puce (figure 5 référence 1) et (figure 6 référence 1) de la manière suivante : la carte à puce envoie un code au dispositif qui en retour doit fournir le code chiffré. Si le code déchiffré correspond à celui attendu par la carte à puce, le dispositif sera réputé authentique, sinon, la carte à puce ne délivrera provisoirement plus de certificats. Trois sollicitations vaines de la carte à puce entraîne la destruction définitive de sa zone mémoire. Le dispositif reçoit le document à vérifier par l'intermédiaire de l'outil d'édition de documents à l'aide duquel le document est rapatrié soit à partir de la boîte aux lettres, soit à partir du dispositif de stockage et de restitution. Le dispositif de vérification des empreintes et des signatures envoie au dispositif de stockage ou à la boîte aux lettres, le certificat de l'utilisateur chiffré contenu dans la carte à puce (figure 5 références 2 et 5) . L'identité de l'utilisateur reconnu par déchiffrement, le dispositif de stockage et de restitution ou la boîte aux lettre délivre le documents demandé (figure 5 références 3 et 4). Le dispositif de vérification des empreintes et des signatures envoie son certificat chiffré afin que le tiers de confiance puisse contrôler l'identité de l'utilisateur demandeur. Le tiers de confiance retourne sous forme chiffrée à l'aide de sa clé publique, son certificat et une clé secrète symétrique qui servira ensuite à assurer la confidentialité de l'échange. Le dispositif de vérification des empreintes et des signatures déchiffre le certificat et la clé secrète symétrique. Le dispositif (de vérification des empreintes et des signatures) relève l'identifiant et la date d'expiration de la carte à puce ayant permis l'élaboration de l'empreinte pour chaque utilisateur ayant déposé une empreinte sur le document et vérifie qu'il détient leur certificat. Le dispositif de vérification des empreintes et des signatures émet une requête sécurisée par la clé secrète symétrique partagée concernant les certificats qu'il ne détient pas, en précisant l'identifiant de l'utilisateur et la date d'expiration de la carte à puce ayant permis l'élaboration de l'empreinte, afin de compléter sa librairie de certificats (figure 5 référence 6), auprès du tiers de confiance. Le tiers de confiance retourne par clé secrète symétrique, les certificats expirés ou non, suivant que le certificat utilisateur qui a présidé à l'élaboration de l'empreinte de tampon est, lui aussi expiré du fait de l'ancienneté de l'empreinte ou non. Sachant que les périodes de validité d'un certificat est au minimum de 6 mois, les certificats associés au certificat de l'utilisateur devront être considérés comme valides dans la période de 6 mois avant l'expiration de la date de fin de validité du certificat utilisateur. Les certificats qui seront fournis par le tiers de confiance seront le certificat utilisateur et le certificat du dispositif de mise sous séquestre (figure 5 référence 7).
Le dispositif de vérification des empreintes et des signatures contrôle l'authenticité de chaque empreinte à l'aide des clés publiques des certificats. Pour ce faire et pour chaque empreinte, le dispositif contrôle l'identité entre le condensé du document réalisé à l'aide d'un algorithme (SHAl -Secure Hashing Algorithm ou MD5 - Message Digest-5 -) et le condensé chiffré décodé à l'aide de la clé publique disponible dans le certificat de l'utilisateur, en vigueur au moment de l'élaboration de - 12 - empreintes et des signatures soit à partir de la boîte aux lettres, soit à partir du dispositif de stockage et de restitution suivant les modalités préalablement décrites, (figure 6 références 2, 3, 4, 5). Le dispositif de mise sous séquestre est en liaison avec le dispositif de vérification des empreintes et des signatures, le dispositif d'oblitération reprend la communication secrète établie avec le dispositif de mise sous séquestre en récupérant la clé secrète symétrique, le dispositif de vérification des empreintes et des signatures communique le rang que devra tenir la nouvelle oblitération. Le dispositif d'oblitération prend la main sur le bandeau de commande et efface toutes les zones du bandeau et indique le rang d'oblitération que tiendra la nouvelle empreinte, passe le voyant lumineux au vert indiquant ainsi que la carte à puce est en place et que l'échange entre le dispositif d'oblitération et le dispositif de mise sous séquestre est opérant (figure 6 références 9 12 et 13), et transforme le système de pointage utilisé par l'utilisateur dans l'outil d'édition de document en un icône de tampon lorsque celui-ci se déplace sur le document (figure 10 référence 4).
A partir de cet instant et jusqu'à l'accusé de réception du dispositif de mise sous séquestre, les dispositif d'oblitération et le dispositif de mise sous séquestre doivent continuer à partager la clé secrète symétrique et le numéro de session d'oblitération et la carte à puce doit rester en place et être active. Si pour une raison quelconque une au moins des ressources venait à manquer durablement (supérieur à quelques secondes) ou ne pouvait plus partager les informations avec le dispositif d'oblitération, le témoin lumineux du bandeau de commande passerait au rouge et l'icône du tampon disparaîtrait au profit d'un curseur flèche normal. Cela indiquerait la fin prématuré du processus d'oblitération et l'obligation de recommencer l'opération depuis le début. Dans le cas d'un fonctionnement normal, la relation est établie avec le dispositif de mise sous séquestre et la carte à puce est en place, l'utilisateur peut effectuer l'oblitération du document à l'apparition de l'icône tampon. L'utilisateur choisit un endroit sur le document qui lui paraît le - 13 - plus adapté pour recevoir l'empreinte du tampon, en lisière du document par exemple.
L'utilisateur sollicite le dispositif d'oblitération en activant le dispositif de pointage sur l'endroit du documents qui lui paraît adapté à recevoir l'empreinte du tampon
Le dispositif d'oblitération fournit au dispositif de mise sous séquestre en mode confidentiel par chiffrage à clé secrète partagée symétrique (figure 6 référence 10) :
- Le condensé du documents chiffré par la clé secrète de l'utilisateur, clé secrète contenue dans la carte à puce.
Les information provenant de la carte à puce : - L'organisme certificateur
- Le nom du service certifié
- L'identifiant de l'utilisateur
- La date d'expiration de la carte utilisateur
- La qualité de l'utilisateur - L'identité de l'utilisateur
- L'identité de l'entreprise de l'utilisateur
- Le type d'oblitération
Le rang d'oblitération de la nouvelle empreinte.
Le dispositif accuse réception des informations (figure 6 référence 11) en retournant :
- le n° de session d'oblitération que le dispositif vient de créer ainsi que - la date et
- l'heure de la création de la session d'oblitération. Le dispositif de mise sous séquestre crée sous ce numéro de session, un contexte à l'utilisateur permettant le stockage des informations parvenues, attendant la mise sous séquestre. Le numéro de session d'oblitération est un nombre unique pour l'ensemble des oblitérations. Ce nombre entier est délivré par un - 14 - compteur dont la valeur d'incrément est d'une unité à chaque événement de création de session d'oblitération. Ce numéro de session d'oblitération est obligatoirement délivré par le dispositif de mise sous séquestre.
A la réception des informations provenant du dispositif de mise sous séquestre, le dispositif d'oblitération complète le bandeau de commande (figure 6 référence 12) avec le numéro de session d'oblitération en cours, sa date et son heure de début. Le dispositif d'oblitération demande à l'utilisateur de saisir les commentaires qui seront visibles sous le tampon et de réaliser une signature sur la tablette à numériser l'écriture figure 6 référence 18), l'utilisateur peut annuler cette demande et l'empreinte ne comportera pas de signature ou au contraire, l'utilisateur appose sa signature manuelle (figure 6 référence 14). Pour ce faire, une fenêtre de numérisation de signature graphique s'ouvre et active la tablette de numérisation d'écriture mis à disposition de l'utilisateur (figure 11 référence 3). L'utilisateur dépose sa signature manuelle sur la tablette de numérisation. Les caractéristiques cinétiques et géométriques de la signature sont enregistrées par le dispositif d'oblitération et de signature sous forme d'une séquence de positions successives de la pointe du stylographe électronique sur la tablette numérique à une fréquence d'échantillonnage de 100 coordonnées/seconde du début à la fin du temps de signature. Cette information est envoyées dispositif de mise sous séquestre à des fins d'analyses ultérieures par des experts graphologues. En même temps, le dispositif d'oblitération et de signature produit une image de signature statique composée de points. Pour ce faire, à la fermeture de la fenêtre de traitement de la signature, le dispositif d'oblitération récupère la charte graphique de l'empreinte de tampon contenue dans la carte à puce de l'utilisateur et la valorise avec les données acquises.
- Rang de l'oblitération - Type d'oblitération
- Numéro de session d'oblitération
- Date de début de session d'oblitération
- Heure de début de session d'oblitération - 15 - L'empreinte est constituée d'une image de points. Elle est le résultat de la fusion entre l'image de points représentant la signature obtenue à partir de la numérisation de la signature manuelle de l'utilisateur, les commentaires transformés également en images de points et la signature valorisée transformée elle aussi en image de points. Cette empreinte visible est celle qui sera déposée sur le document.
Le dispositif d'oblitération envoie, sous l'identifiant du numéro de session d'oblitération, à destination du dispositif de mise sous séquestre dans un échange sécurisé par clé secrète symétrique :
- l'empreinte résultante contenant l'empreinte du tampon, les commentaires et la signature éventuelle de l'utilisateur, réalisée sous forme d'une image de points - La séquence des positions successives de la pointe du stylographe électronique sur la tablette numérique à une fréquence d'échantillonnage de 100 coordonnées/seconde du début à la fin du temps de signature. Le dispositif de mise sous séquestre, stocke les informations définitivement dans une zone sécurisée sous une double clé d'accès composée de l'identifiant de utilisateur et du numéro de session d'oblitération, Les informations suivantes :
- Le condensé du documents chiffré par la clé secrète de l'utilisateur, clé secrète contenue dans la carte à puce. - L'organisme certificateur
- Le nom du service certifié
- L'identifiant de l'utilisateur (clé d'enregistrement)
- La date d'expiration de la carte utilisateur
- La qualité de l'utilisateur - L'identité de l'utilisateur
- L'identité de l'entreprise de l'utilisateur
- Le type d'oblitération
- Le rang d'oblitération de la nouvelle empreinte.
- Le numéro de la session d'oblitération (clé d'enregistrement) - La date du début de la session d'oblitération
- L'heure du début de la session d'oblitération
- l'empreinte résultante contenant l'empreinte du tampon, le commentaire et la signature éventuelle de l'utilisateur, réalisée - 16 - sous forme d' une image de points
- La séquence des positions successives de la pointe du stylographe électronique sur la tablette numérique à une fréquence d'échantillonnage de 100 coordonnées/seconde du début à la fin du temps de signature.
Le dispositif d'oblitération reçoit du dispositif de mise sous séquestre la validation de la mise sous séquestre et les informations qui vont lui permettre de constituer définitivement l' empreinte. Le dispositif de mise sous séquestre envoie sous l'identifiant du numéro de session d'oblitération dans un échange sécurisé par clé secrète symétrique, les informations suivantes chiffrée à l'aide de sa clé secrète asymétrique (figure 6 référence 16) :
- La qualité de l'utilisateur - L'identité de l'utilisateur
- L'identité de l'entreprise de l'utilisateur
- Le rang de l'oblitération
- Le type de l'oblitération
- Le numéro de session de l'oblitération - La date de début de l'oblitération
- La date de fin de l'oblitération. et relâche le contexte qu'il avait créé pour le numéro de session d'oblitération considéré après accusé de réception de la part du dispositif d'oblitération. La figure 7 montre quelle est la structure du document d'accueil nécessaire à l'intégration du document proprement dit et des empreintes et signatures. Ce document est composé d'un document pouvant contenir plusieurs documents chacun de ces document étant accompagné par l'outil d'édition et d'extraction qui lui est propre (figure 7 référence 1). La mise en œuvre de l'outil d' édition du document d' accueil permet de disposer des documents assemblés à l'écran et sur le papier (figure 7 référence 2). C'est cet outil d'édition qui permet à l'utilisateur d'éditer le résultat de l'assemblage sur papier ou à 1 'écran. La mise en œuvre des outils d'édition et d'extraction spécialisés selon les documents accueillis permet de disposer des documents indépendamment les uns des autres. Ces outils permettent de pouvoir extraire sans modification les documents qui ont été - 17 - introduits dans le document d'accueil et de les utiliser indépendamment du document d'accueil, (figure 7 références 3 et 4) .
La figure 8 montre le document représentant l'empreinte et la signature. Il est représenté dans la figure sous forme éditée logique. Il est composé de 2 parties : une partie éditable et imprimable visible qui représente l'empreinte du tampon et la signature formées d'un graphisme de points.
Une partie éditable non imprimable et invisible qui contient 3 blocs d'information :
Un bloc d' informations en clair précisant :
- L'organisme certificateur de la carte à puce - Le nom du service certifié
- L'identifiant de l'utilisateur
La date d'expiration de la carte utilisateur.
Un bloc d'informations chiffré par la clé secrète du dispositif de mise sous séquestre précisant : - La qualité de l'utilisateur (civilité)
- L'identité de l'utilisateur
- L'identité de l'entreprise de l'utilisateur
- Le rang de l'oblitération
- Le type d' oblitération - Le numéro de session d'oblitération
- La date de début de l'oblitération L- 'heure de début de l'oblitération
Un bloc d'information chiffré par la clé secrète de l'utilisateur qui a procédé à la pose de l'empreinte et à la signature manuscrite. Contenant :
- Le condensé du document.
La figure 9 montre la forme logique finale que prend le document (figure 9 référence 1), le document accueilli (figure 9 référence 2) étant le document faisant l'objet de la certification et les documents accompagnateurs étant les empreintes, les signatures et les informations invisibles les accompagnant (figure 9 référence 3) La figure 10 montre l'intégration du bandeau de commande des dispositif de vérification des empreintes et des signatures et d'oblitération à l'intérieur d'un outil d'édition (figure 10 référence 1). Lorsque le bouton poussoir dont l'icône représente un tampon est actif et qu'il est sollicité (figure 9 référence 2), c'est à dire que le document est valide et que l'activité du dispositif d'oblitération avec le dispositif de mise sous séquestre est actif et la carte à puce est en place, le voyant vers étant allumé (figure 9 référence 3), L'icône du dispositif de pointage de l'éditeur est transformé en tampon, (figure 9 référence 4)
La figure 11 montre l'apparition de la fenêtre de numérisation de la signature activant la tablette de numérisation et la répétition de la capture de la signature manuelle dans la fenêtre de validation (figure 11 référence 3) La présence du témoins lumineux vert (figure 11 référence 2) et la présence de l'icône tampon oscillant comme le système de pointeur graphique montre que le système progresse.
La figure 12 montre la dépose de l'empreinte et de la signature à l'endroit préalablement choisie, (figure 12 référence 1). Ce tampon peut être déplacé à l'aide du système pointeur sur le document tant que le témoin lumineux est au vert (figure 12 référence 2). La dépose définitive de l'empreinte du tampon a lieu à l'envoi de la validation émis par l'utilisateur à l'aide de son système de pointage. Le document ainsi complété est sauvegardé par l'utilisateur dans le dispositif de stockage et de restitution.
La figure 13 montre comment fonctionne le dispositif de pilotage des flux de documents à partir des informations mises à disposition par le dispositif de stockage et de restitution de documents . Un document initialement crée et signé est introduit dans le dispositif de stockage et de restitution des documents. Ce document peut être une photographie dont l'empreinte de tampon a pu être produite à partir de la signature (condensé chiffré) - 19 - réalisée par l'appareil photographique numérique (figure 13 référence 1). A l'arrivé du document dans le sas, le document est stocké dans le dispositif de stockage et de restitution des documents après avoir été encapsulé à son passage dans le sas d'entrée à l'intérieur d'un document d'accueil comme décrit plus haut prenant le nom du document qu'il encapsule et d'une première empreinte précisant En clair :
- L'organisme certificateur du certificat de l'appareil - Le nom du service certifié
- L'identifiant de l'appareil photo qui a pris la photo
- La date d'expiration du certificat de l'appareil En clair
- La date et l'heure de la prise de vue. Chiffré à l'aide de la clé secrète de l'appareil
- Le condensé de la photo
Il sera répertorié au catalogue des documents (figure 13 référence 6). Suivant ses particularités, il pourra soit faire l'objet d'un appel direct de la part d'un utilisateur (figure 13 référence 2 et 3), soit faire l'objet d'une mise en œuvre d'une circulation automatisée.
Le catalogue émet un événement à l'automate de pilotage des flux de documents, à chaque arrivée d'un nouveau document. L'automate de pilotage des flux de documents extrait le document du stockage s'il est répertorié dans les règles comme devant être mis ne circulation, (figure 13 référence 9) . Les règles sont assorties de commentaires à introduire dans les messages à destination des utilisateurs qui recevront les documents dans leur boîte aux lettres. Les règles précisent la ou les boîte (s) aux lettres concernée (s) par la distribution du document, (figure 13 référence 8. Les adresses de distribution sont confiées au moteur de gestion des flux de documents (figure 13 référence 12) ainsi que les documents (figure 13 référence 10) Le document arrive sur la boîte aux lettres de l'utilisateur qui peut dès lors qu'il est authentifié par sa carte à puce effectuer l'éventuelle oblitération et signature dont il a la charge figure 13 référence 13). Dès lors qu'il a apposé l'empreinte de son - 20 - tampon et sa signature il peut le renvoyer au dispositif de stockage et de restitution des documents (figure 13 référence 3) . Ce document fera l'objet d'une lecture des propriétés de l'empreinte dans le sas d'entrée. Pour ce faire, chaque empreinte sera déchiffrée à partir de la clé publique du dispositif de mise sous séquestre définie à partir de la date d'expiration de la carte de l'utilisateur (figure 13 référence 4). Ce document sera stocké à nouveau en lieu et place du précédent. L'état du document sera consigné dans le catalogue des documents. Un événement vers l'automate pourra donner lieu à une nouvelle circulation de documents (figure 13 référence 7).
La réalisation des dispositifs est supportée par des plates formes informatiques. Les dispositifs d'oblitération et de vérification des empreintes et des signatures sont intégrés à un éditeur de document du marché du genre WORD™ fonctionnant sur microordinateur.
Dans cette éditeur, on peut réaliser une bandeau de commande sous forme de barre d'outil qui permette d'activer les programmes de gestion d'oblitération et de vérification dont les fonctionnalités ont été décrites plus haut. La figure 5 référence 1 montre la forme que cette barre d'outil peut prendre.
Les dispositifs de mise sous séquestre et le dispositif de stockage et de restitution sont des plates formes serveurs accessibles par le poste de travail par réseau INTERNET.
Le dispositif de pilotage des flux de documents peut être abritée sur la plate forme de stockage et de restitution.
Le moteur de gestion des flux de document à oblitérer et à signer peut prendre la forme de la messagerie INTERNET sous SMTP. Les boîtes aux lettres étant les points de contact POP de la messagerie SMTP.
Les documents constitutifs sont de tous les types possibles que ce soit des images, des documents graphiques ou textuels, des sons, - 21 - des vidéos,...) en particulier il peuvent être des documents .jpg • Ces documents doivent satisfaire à des règles de construction techniques particulières qui doivent permettre d'intégrer différents documents dans une même structure, en les conservant conjointement éditables et en respectant l'intégrité de leur structure physique, le document d'accueil formant réceptacle ds documents composés du document principal, du (ou des) tampons, de la (ou des) signatures et des informations complémentaires associées. Un tel document d'accueil correspond au mode de fonctionnement en mode OLE™ (Object Linking and Embedding) qui permet d'encapsuler les documents accueillis sous forme d'objets éditables sans que les documents accueillis ne subissent aucune modification. Ces documents accueillis sont éditables dans le document d'accueil à l'aide des éditeurs encapsulés embarqués et ils sont éditables et extractibles du document d'accueil à l'aide de leur propre éditeur. Le fait de rendre les documents extractibles de leur document d'accueil permet de récupérer le document original. Les liens OLE™ dans un document de type WORD™ permettent de satisfaire aux contraintes fonctionnelles d'édition et d'extraction nécessaires aux mécanismes des dispositifs de vérification, d'oblitération et de pilotage. Ces liens OLE™ permettent de mettre en œuvre les caractéristiques d'assemblage, d'édition dynamiques et d'extraction des documents sans altération de leur contenus conformément à la figure 7. Un document WORD™ peut contenir plusieurs documents .jpg en liens OLE™ qui peuvent se recouvrir les uns les autres à l'édition et à l'impression. Par exemple, un document .jpg est le document de référence et les autres documents .jpg contiennent les empreintes, la signature, les commentaires et la zone invisible tels que décrit par la figure 9. Le document WORD™ est éditable et imprimable globalement.
Il est tout aussi possible d'extraire sans altération le document principal .jpg ou les documents complémentaires à l'aide des outils d'édition et d'extraction qui sont associé aux objets dans le lien OLE™.
Le document WORD™ peut donc être exploité pour transporter les - 22 - documents tout en permettant d'effectuer les contrôles d'authenticité des objets que ce document contient en effectuant d'une part l'extraction dans WORD™ du document principal et d'autre part l'extraction dans WORD™ du document contenant toutes les informations d'empreinte visibles ou invisibles. Le condensé du document principal -jpg est comparé au condensé déchiffré contenu dans la partie invisible extraite du document .jpg non graphique pour contrôler l'authenticité du document. La partie invisible de l'empreinte est structurée en XML afin de faciliter la recherche des données dans les différents dispositifs. Cette structure XML permet de pouvoir disposer immédiatement de structure exportables pour constituer le catalogue des documents. La signature manuelle fait l'objet d'une décomposition sous forme d'une séquence de coordonnées de points échantillonnées à 100 points par secondes entre le début et la fin de la signature. Cette séquence déposée dans le serveur du tiers de séquestre, peut être aisément transformée en MPEG3 pour être visualisée dans un éditeur vidéo disponible sur micro ordinateur. Les experts disposent ainsi d'un moyen de reconnaître l'utilisateur au travers de sa façon de réaliser sa signature. Un dépôt de signature auprès du serveur tiers de séquestre selon le même procédé peut faciliter la reconnaissance de l'authenticité de signature d'un utilisateur.
Les domaines d'application industrielles et de services couvrent la qualification et la certification de photographies, de sons, de plans, de vidéos, par des experts à des fins décisionnels juridiques ou assuranciels.

Claims

23 - Revendications
1. Dispositif permettant d'oblitérer et de commenter un document de référence entre plusieurs utilisateurs en garantissant l'authenticité du document et l'authenticité des empreintes et des signatures
Le dispositif d'oblitération est configuré par une carte à puce qui détermine à elle seule, la nature de l'empreinte, le type de tampon et permet de contrôler l'authenticité de l'utilisateur, l'authenticité des documents et des empreintes de tampon, l'authenticité du tiers de séquestre, l'authenticité des programmes informatiques d'oblitération et de vérification des empreintes et des signatures.
Le dispositif permet de produire des empreintes de tampons et des signature manuelles qui peuvent être apposées sur des documents électroniques de nature diverse (images, documents graphiques et textuels, sons, vidéos,...) à l'aide d'un outil intégrable aux outils d'édition.
Ces empreintes graphiques sont accompagnées d' informations complémentaires permettant d'assurer une authentification des empreintes et des signatures manuelles, déposées sur le document et chez un tiers de séquestre.
Le dispositif permet de garantir l'authenticité d'un document et de le faire certifier et expertiser en collectant les commentaires et les remarques des utilisateurs es qualité.
Caractéristiques techniques pour laquelle la protection est recherchée : Dispositif sécurisé par une carte à puce et un dispositif tiers de séquestre, permettant de déposer une empreinte de tampon et une signature manuelle visibles sur toutes sortes de documents électroniques dont l'attache au document est garantie. 24
Caractéristiques techniques pour laquelle la protection est recherchée : Dispositif sécurisé par une carte à puce et un dispositif tiers de séquestre, permettant de collecter des remarques et des commentaires accompagnés de la signature manuscrite des utilisateurs sur un document dont l'authenticité est conservée tout au long de la collecte.
2. Dispositif selon la revendication 1 complété par un dispositif de traitement des informations complémentaires contenues dans les empreintes déposées sur les documents et qui permettent à un automate de piloter des actions de distribution de documents en fonction du constat réalisé et de l'instruction à mener.
Caractéristiques techniques pour laquelle la protection est recherchée : Le dispositif qui collecte l'ensemble des documents, interprète le contenu des empreintes de tampon déposés sur les documents et redistribue ces documents selon des règles dans des boîtes au lettres .
Caractéristiques techniques pour laquelle la protection est recherchée : Le dispositif qui collecte l'ensemble des documents, déchiffre les empreintes de tampon à l'aide d'une clé publique déduite de la date d'expiration des cartes à puce des utilisateurs.
3. Dispositif selon les revendications 1 et 2 complété par un dispositif qui délivre une signature manuelle décomposée en coordonnées de points échantillonnées à 100 points par seconde est apposée sur le document sous forme statique et déposée chez le tiers de séquestre sous forme statique et dynamique. Cette forme de dépôt permet aux experts de mieux établir l'authenticité réelle d'une signature.
Caractéristiques techniques pour laquelle la protection est recherchée : Dispositif sécurisé par une carte à puce et un dispositif tiers de séquestre, permettant d'échantillonner une - 25 - signature manuelle afin de disposer de toute l'information nécessaire pour reconstituer le trajet dynamique de la pointe du stylo à des fins d'expertise et de la séquestrer pour renforcer la sécurité d' authentification de la signature électronique .
PCT/FR2001/000632 2001-02-06 2001-03-02 Dispositif d'obliteration et de signature manuelle de documents electroniques, securise par carte a puce, cle publique et tiers de sequestre WO2002063440A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0101559A FR2820578A1 (fr) 2001-02-06 2001-02-06 Dispositif d'obliteration et de signature manuelle de document electronique, securise par carte a puce, cle publique et tiers de sequestre
FR01/01559 2001-02-06

Publications (1)

Publication Number Publication Date
WO2002063440A1 true WO2002063440A1 (fr) 2002-08-15

Family

ID=8859656

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2001/000632 WO2002063440A1 (fr) 2001-02-06 2001-03-02 Dispositif d'obliteration et de signature manuelle de documents electroniques, securise par carte a puce, cle publique et tiers de sequestre

Country Status (2)

Country Link
FR (1) FR2820578A1 (fr)
WO (1) WO2002063440A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012049592A2 (fr) * 2010-10-10 2012-04-19 Vpsign, Ltd. Procédé et appareil pour signature électronique
CN110991157A (zh) * 2019-11-25 2020-04-10 长江勘测规划设计研究有限责任公司 基于电子文件可信技术的工程质量评定系统设计方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8037310B2 (en) * 2004-11-30 2011-10-11 Ricoh Co., Ltd. Document authentication combining digital signature verification and visual comparison

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5638446A (en) * 1995-08-28 1997-06-10 Bell Communications Research, Inc. Method for the secure distribution of electronic files in a distributed environment
US5659616A (en) * 1994-07-19 1997-08-19 Certco, Llc Method for securely using digital signatures in a commercial cryptographic system
EP0828208A2 (fr) * 1996-08-23 1998-03-11 Hewlett-Packard Company Certification d'une application pour une structure internationale de cryptographie

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5659616A (en) * 1994-07-19 1997-08-19 Certco, Llc Method for securely using digital signatures in a commercial cryptographic system
US5638446A (en) * 1995-08-28 1997-06-10 Bell Communications Research, Inc. Method for the secure distribution of electronic files in a distributed environment
EP0828208A2 (fr) * 1996-08-23 1998-03-11 Hewlett-Packard Company Certification d'une application pour une structure internationale de cryptographie

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012049592A2 (fr) * 2010-10-10 2012-04-19 Vpsign, Ltd. Procédé et appareil pour signature électronique
WO2012049592A3 (fr) * 2010-10-10 2012-06-14 Vpsign, Ltd. Procédé et appareil pour signature électronique
CN110991157A (zh) * 2019-11-25 2020-04-10 长江勘测规划设计研究有限责任公司 基于电子文件可信技术的工程质量评定系统设计方法
CN110991157B (zh) * 2019-11-25 2023-12-01 长江勘测规划设计研究有限责任公司 基于电子文件可信技术的工程质量评定系统设计方法

Also Published As

Publication number Publication date
FR2820578A1 (fr) 2002-08-09

Similar Documents

Publication Publication Date Title
EP0055986B1 (fr) Procédé et dispositif de sécurité pour communication tripartite de données confidentielles
EP1612991B1 (fr) Procédé et système de vote électronique en réseau à haute sécurité
WO2007077324A1 (fr) Procede de certification et d'authentification ulterieure de documents originaux papier ou numeriques pour constitution de preuves
EP2048814A1 (fr) Procédé d'authentification biométrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants.
FR2738934A1 (fr) Systeme de comptabilisation anonyme d'informations a des fins statistiques, notamment pour des operations de vote electronique ou de releves periodiques de consommation
FR2625013A1 (fr) Systeme et procede fiables d'authentification de document
EP3690686A1 (fr) Procédé d'authentification, serveur et dispositif électronique d'identité
EP1255178B1 (fr) Dispositif de sécurité pour transaction en ligne
WO2019233951A1 (fr) Une application logicielle et un serveur informatique pour authentifier l'identité d'un créateur de contenu numérique et l'intégrité du contenu du créateur publié
WO2010015735A2 (fr) Vote électronique produisant un résultat authentifiable.
WO2015033162A1 (fr) Autorisation de ticket
EP1011223A1 (fr) Procédé de création et gestion d'au moins une clé cryptographique et système pour sa mise en oeuvre
US20040139344A1 (en) Digital declaration, method for creating a digital declaration, and a software product for carrying out this method
WO2010007479A2 (fr) Appareil et procédé de génération d'un titre sécurisé à partir d'un titre officiel
WO2002023863A1 (fr) Procede pour generer les preuves de l'envoi et de la reception par un reseau de transmission de donnees d'un ecrit electronique et de son contenu
EP2075726A1 (fr) Outil utilisable pour l'authentification de documents, procédés d'utilisation de l'outil et de documents produits par le ou les procédés
WO2002063440A1 (fr) Dispositif d'obliteration et de signature manuelle de documents electroniques, securise par carte a puce, cle publique et tiers de sequestre
FR2832829A1 (fr) Procede, systeme et dispositif permettant d'authentifier des donnees transmises et/ou recues par un utilisateur
WO2018154190A1 (fr) Système biométrique de contrôle d'accès dynamique
WO2014122297A2 (fr) Authentification de signature manuscrite numérisée
DE102005045947B4 (de) Verfahren zur sicheren Erkennung und/oder Überprüfung und/oder Zuordnung von Teilnehmern, bzw. Teilnehmeradressen in Datennetzen
EP2005379A1 (fr) Securisation de transaction electroniques sur un reseau ouvert
US20060291699A1 (en) Identity and signature verification system
FR2850772A1 (fr) Procede et dispositif de securisation de transactions electroniques effectuees sur un terminal non securise
DE102005063650B3 (de) Verfahren zum Zweck der sicheren Erkennung, bzw. Prüfung der Authentizität eines bei einem vernetzten Teilnehmer und/oder bei einer mit dem Teilnehmer vernetzten Einrichtung auftretenden Ereignisses

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP