Votre navigateur ne prend pas en charge le javascript, dès lors, certaines fonctionnalités ne sont pas disponibles
Vers le contenu de cette page

Différences entre le format de signature PKCS#7/CMS et le format de signature CAdES-T

Le format CAdES-T diffère du format PKCS#7 par l’inclusion d’un timestamp certifié. Conceptuellement, la différence entre les deux formats de signature peut être représentée de la façon suivante :

Différences entre le format de signature PKCS#7/CMS et le format de signature CAdES-T

Le timestamp inclus dans la signature CAdES-T est un « timestamp certifié ». Cela signifie que ce timestamp a été produit par une autorité d’horodatage capable de garantir l’exactitude et la fiabilité de la date et de l’heure fournie. Techniquement, la fiabilité du timestamp est garantie par la signature de ce timestamp, cette signature est effectuée par l’autorité d’horodatage.

L’ajout de ce timestamp certifié dans la structure de la signature permet d’obtenir une garantie de non-répudiation forte du signataire. En d’autres termes, le signataire qui a produit la signature CAdES-T ne pourra pas nier ultérieurement avoir produit la signature à la date indiquée par le timestamp. Du point de vue du récipiendaire de cette signature (l’expéditeur), la validation de ce timestamp renforce donc l’une des garanties déjà présentes dans la signature PKCS#7/CMS.

En pratique, l’expéditeur souhaitant bénéficier de cette garantie supplémentaire devra effectuer les vérifications suivantes (en plus de celles déjà effectuées dans le cadre de la validation de la signature PKCS#7/CMS) :

  1. Vérifier que la signature associée au timestamp porte bien sur :
    • Le timestamp en lui-même, et…
    • … la valeur de la signature associée au message.
  2. Vérifier que la signature du timestamp est cryptographiquement correcte (décodage RSA ou DSA de la signature et comparaison des digests).
  3. Vérifier que le timestamp a été produit par une autorité d’horodatage fiable, c’est-à-dire que le certificat utilisé pour identifier l’autorité d’horodatage est un certificat de confiance du point de vue de l’expéditeur. Ce certificat ne doit pas être expiré, ni révoqué.