Votre navigateur ne prend pas en charge le javascript, dès lors, certaines fonctionnalités ne sont pas disponibles
La signature digitale

La signature digitale des déclarations sociales

Différences entre le format de signature PKCS#7/CMS et le format de signature CAdES-T

Vous trouvez ci-dessous  les différences entre le nouveau format de signature CAdES-T et le format actuel PKCS#7/CMS. Ceci est donc particulièrement utile aux expéditeurs qui valident déjà le format PKCS#7/CMS et qui souhaiteraient mettre à jour leur applicatif afin de le rendre compatible avec le nouveau format.

Le nouveau format CAdES-T diffère du format PKCS#7 par l’inclusion d’un timestamp certifié. Conceptuellement, la différence entre les deux formats de signature peut être représentée de la façon suivante :

Différences entre le format de signature PKCS#7/CMS et le format de signature CAdES-T

Le timestamp inclus dans la signature CAdES-T est un « timestamp certifié ». Cela signifie que ce timestamp a été produit par une autorité d’horodatage capable de garantir l’exactitude et la fiabilité de la date et de l’heure fournie. Techniquement, la fiabilité du timestamp est garantie par la signature de ce timestamp, cette signature est effectuée par l’autorité d’horodatage.

L’ajout de ce timestamp certifié dans la structure de la signature permet d’obtenir une garantie de non-répudiation forte du signataire. En d’autres termes, le signataire qui a produit la signature CAdES-T ne pourra pas nier ultérieurement avoir produit la signature à la date indiquée par le timestamp. Du point de vue du récipiandaire de cette signature (l’expéditeur), la validation de ce timestamp renforce donc l’une des garanties déjà présentes dans la signature PKCS#7/CMS.

En pratique, l’expéditeur souhaitant bénéficier de cette garantie supplémentaire devra effectuer les vérifications suivantes (en plus de celles déjà effectuées dans le cadre de la validation de la signature PKCS#7/CMS) :

  1. Vérifier que la signature associée au timestamp porte bien sur :
    • Le timestamp en lui-même, et…
    • … la valeur de la signature associée au message.
  2. Vérifier que la signature du timestamp est cryptographiquement correcte (décodage RSA ou DSA de la signature et comparaison des digests).
  3. Vérifier que le timestamp a été produit par une autorité d’horodatage fiable, c’est-à-dire que le certificat utilisé pour identifier l’autorité d’horodatage est un certificat de confiance du point de vue de l’expéditeur. Ce certificat ne doit pas être expiré, ni révoqué.

Note : Des signatures de tests au format CAdES-T sont disponibles sur demande auprès du Centre de Contact (02/545.50.78 ou batch@eranova.fgov.be) afin de permettre de valider votre implémentation (du processus de validation de signature).