Avec la gestion de la sécurité des identités numériques, celle de la signature représente une bonne part des activités des tiers de confiance. Ces professionnels mettent en œuvre des systèmes reposant sur les architectures PKI (public key infrastructure ou ensemble d’infrastructures permettant de réaliser des échanges sécurisés).
Associée à un document, la signature électronique repose sur un mécanisme de chiffrement qui permet d’authentifier l’auteur du document, de garantir l’intégrité de ce document et de le rendre irrévocable. La validité de cette signature repose sur un certificat lui-même dépendant d’un mode d’attribution. Selon les exigences de sécurité, on distingue 4 types de certificats au niveau européen (normes ETSI) : celui de niveau 1 pour lequel seule l’adresse électronique du demandeur est nécessaire, le niveau 2 requérant une preuve de l’identité (photocopie de carte d’identité, par exemple), le niveau 3 où la présence physique du demandeur est obligatoire et, enfin, le certificat de niveau 4, identique au niveau 3, mais stocké sur un support physique cryptographique (clé USB ou carte à puce). En France, on se réfère plus généralement au RGS (Référentiel Général de Sécurité) et ses niveaux sous forme d’étoiles correspondant à des niveaux de sécurité progressifs sur la qualité de certification de l’identité numérique. Les points de correspondance entre ces deux modes ? Le niveau de signature 1 ne comporte pas de certificat. Le niveau 2 peut être considéré comme un certificat RGS* et RGS**. Les niveaux 3 et 4 peuvent être comparés au certificat RGS***. Si la PKI assure la gestion des certificats (création, distribution, révocation, etc.), le tiers de confiance valide les certificats. On parle d’autorité de certification (AC) qui définit une politique de certification et la fait appliquer. Il y a ensuite l’autorité d’enregistrement (AE) qui garantit la validité des informations contenues dans le certificat, et enfin l’opérateur de certification (OC) qui assure la fourniture et la gestion des certificats électroniques.
