De
façon générale, le chiffrement consiste à rendre
le texte d'un message illisible pour qui ne détient pas la clé
de déchiffrement. Dans les systèmes de chiffrement symétriques,
une seule clé sert à la fois à chiffrer et à
déchiffrer les données. Elle doit être gardée
secrète par les parties intéressées pour que la sécurité
de l'information soit garantie. L'inconvénient principal réside
dans le fait que l'expéditeur et le destinataire doivent convenir
à l'avance de la clé et doivent disposer d'un canal sûr
pour l'échanger.
C'est
pourquoi les systèmes de signature électronique qui se développent
depuis quelques années reposent sur des algorithmes de chiffrement
asymétriques, où, de plus, chaque utilisateur dispose de
deux clés, une clé publique et une clé privée.
Ces deux clés sont elles-mêmes créées à
l'aide d'algorithmes mathématiques. Elles sont associées
l'une à l'autre de façon unique et sont propres à
un utilisateur donné. Un message chiffré à l'aide
d'un algorithme asymétrique et d'une clé privée, qui
constitue l'un des paramètres de l'algorithme, ne peut être
déchiffré qu'avec la clé publique correspondante,
et inversement. La clé publique doit donc être connue de tous,
tandis que la clé privée reste secrète, la carte à
puce semblant être le meilleur support de stockage des clés
privées. Lorsque l'algorithme de chiffrement asymétrique
est utilisé seulement pour créer la signature électronique,
les mêmes clés, privée et publique, sont utilisées,
mais seulement pour vérifier l'authenticité et l'intégrité
du message.
Ces signatures électroniques, obtenues par l'application
d'algorithmes asymétriques, sont parfois qualifiées de numériques
ou de " digitales ", par opposition aux signatures électroniques
créées au moyen d'autres dispositifs.
Selon la Commission des Nations Unies pour le droit commercial
international, une signature numérique est " une valeur numérique
apposée à un message de données et qui, grâce
à une procédure mathématique bien connue associée
à la clé cryptographique privée de l'expéditeur,
permet de déterminer que cette valeur numérique a
été créée à partir de la clé
cryptographique privée de l'expéditeur. Les procédures
mathématiques utilisées pour créer les signatures
numériques sont fondées sur le chiffrement de la clé
publique. Appliquées à un message de données, ces
procédures mathématiques opèrent une transformation
du message de telle sorte qu'une personne disposant du message initial
et de la clé publique de l'expéditeur peut déterminer
avec exactitude :
a)si
la transformation a été opérée à l'aide
de la clé privée correspondant à celle de l'expéditeur
b)
si le message initial a été altéré une fois
sa transformationopérée
(...) "
Contrairement à la signature manuscrite, la signature
numérique, composée de chiffres, de lettres et d'autres signes,
ne comporte aucun élément permettant de l'attribuer à
une personne donnée. Chaque utilisateur doit donc établir
avec certitude l'identité de ses correspondants. C'est pourquoi
on recourt à des services de certification, souvent désignés
comme " tiers de certification ", qui disposent de la confiance de chacun
et qui garantissent l'appartenance d'une signature à une personne.
Comme le destinataire utilise la clé publique de l'expéditeur
pour vérifier la signature électronique de ce dernier, la
vérification suppose que le tiers certifie au destinataire que la
clé publique qu'il utilise correspond bien à la clé
privée de l'expéditeur signataire et que ce dernier est bien
celui qu'il prétend être. Les tiers de certification délivrent
donc des certificats d'authentification qui contiennent, d'une part, divers
renseignements sur la personne dont on souhaite vérifier l'identité
(nom, prénom, date de naissance...) et, d'autre part, sa clé
publique. Ces certificats sont généralement réunis
dans des bases de données mises en ligne sur le réseau Internet,
ce qui permet à chacun d'y accéder facilement.
La signature numérique constitue donc un bloc
de données créé à l'aide d'une clé privée
; la clé publique correspondante et le certificat permettent de
vérifier que la signature provient réellement de la
clé privée associée, qu'elle est bien celle de l'expéditeur
et que le message n'a pas été altéré.