Les signatures qualifiées expliquées
Spec: ETSI EN 319 411-2 ETSI EN 319 411-2 Spec: ETSI EN 319 411-1 ETSI EN 319 411-1 Spec: ETSI EN 319 421 ETSI EN 319 421 Evidence: Standard-backed
« Qualifié » est un statut juridique au titre du règlement eIDAS de l’UE, pas une propriété qu’une bibliothèque pourrait accorder. Plusieurs parties accomplissent chacune des actions précises pour le produire : un certificat qualifié, un dispositif de création de signature qualifié, un prestataire de services de confiance qualifié et des listes de confiance publiées. Cette page présente ces rôles et délimite clairement le rôle, étroit, que joue NextPDF — ainsi que les rôles plus larges qu’il ne joue pas.
Pourquoi c’est important
Section intitulée « Pourquoi c’est important »Une qualified electronic signature a, dans la juridiction concernée, l’effet juridique que la loi lui assigne. C’est ce qui rend « qualifié » séduisant. C’est aussi ce qui rend dangereux de le revendiquer à la légère. Imagine qu’un flux de travail soit décrit comme produisant des signatures qualifiées alors qu’un rôle de la chaîne manque — le certificat n’est pas qualifié, le dispositif n’est pas un QSCD, le prestataire ne figure pas sur une liste de confiance. Les signatures obtenues ne sont alors pas qualifiées. Cet écart fait généralement surface au moment où les conséquences sont les plus lourdes : un litige, un audit, un contrôle d’acceptation transfrontalier.
La difficulté tient au fait qu’une signature avancée parfaitement valide et une signature qualifiée peuvent paraître identiques dans une visionneuse PDF. La différence réside dans le certificat, le dispositif, le prestataire et la liste de confiance — dont aucun n’est fourni par un moteur de signature. L’enjeu est donc de savoir exactement quelle partie porte quelle garantie.
La version courte
Section intitulée « La version courte »- « Qualifié » désigne une chaîne, pas une fonctionnalité. Il faut un certificat qualifié émis sous l’autorité d’un prestataire de services de confiance qualifié, une signature sur un QSCD et un statut repérable au travers des listes de confiance. Retires-en un seul, et le résultat n’est plus qualifié.
- Un QSCD est obligatoire. Selon les politiques de certificats qualifiés, les signatures doivent être créées uniquement par un dispositif de création de signature qualifié. Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5
- Le contrôle exclusif appartient au signataire et au dispositif. La clé privée doit rester sous le contrôle exclusif du signataire, dans un dispositif qui la protège et signe pour le compte de l’utilisateur. Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5
- Le rôle de NextPDF est étroit et clairement délimité. Il assemble une signature PDF structurellement correcte et peut intégrer un horodatage de confiance ainsi que du matériel de validation à long terme. Il n’est pas un QSCD, pas un prestataire de services de confiance (qualifié), et il n’émet pas de certificats, n’exploite pas de listes de confiance et ne confère pas le statut qualifié.
Comment NextPDF l’aborde
Section intitulée « Comment NextPDF l’aborde »Les rôles, nommés
Section intitulée « Les rôles, nommés »Une qualified electronic signature au sens d’eIDAS repose sur des responsabilités distinctes. NextPDF n’occupe qu’une seule case ; les autres relèvent de parties et de normes extérieures au moteur.
- Step 1 of 5: eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame
- Step 2 of 5: ETSI EN 319 411-1 / 411-2 qualified certificate policy ; QSCD mandatory ; sole control
- Step 3 of 5: ETSI EN 319 412-5 qualified-certificate profile — the QC statements
- Step 4 of 5: ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps
- Step 5 of 5: ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds
- Le certificat qualifié. Émis pour le signataire, il porte les déclarations QC qui le désignent, sous une forme exploitable par machine, comme certificat qualifié de signature électronique et qui identifient le prestataire de services de confiance qualifié qui l’a émis. Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 NextPDF ne l’émet pas.
- Le QSCD. Un dispositif de création de signature qualifié — selon les termes de l’ETSI, un dispositif cryptographique sécurisé qui détient la clé privée de l’utilisateur, la protège contre toute compromission et effectue la signature pour le compte de l’utilisateur. Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 NextPDF est un logiciel qui signe à travers un tel dispositif ; le moteur n’est pas lui-même un QSCD, et son chemin à clé logicielle n’en est pas un.
- Le prestataire de services de confiance qualifié. Le QTSP émet le certificat qualifié et est lui-même soumis à supervision ; les politiques exigent que les signatures sous ces certificats soient créées uniquement par un QSCD. Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 NextPDF n’est pas un prestataire de services de confiance.
- Les listes de confiance. La preuve publiée permettant à une partie utilisatrice d’établir que le prestataire et le service étaient qualifiés. NextPDF n’exploite ni ne cautionne les listes de confiance.
La part étroite que NextPDF joue
Section intitulée « La part étroite que NextPDF joue »Au sein de cette chaîne, le rôle de NextPDF est précis et concret. Il assemble la signature PDF : il place le champ de signature, calcule la plage d’octets et construit le CMS SignedData que la norme exige de l’entrée Contents. Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 Lorsque la clé de signature est sur un QSCD, NextPDF signe à travers lui par la même couture matérielle décrite dans la signature adossée à un HSM, et la clé reste sur le dispositif.
NextPDF peut aussi intégrer les deux ingrédients qui rendent une signature durable : un horodatage de confiance issu d’une autorité d’horodatage, et le matériel de validation à long terme qui la maintient vérifiable. Un horodatage est la preuve, fournie par un tiers de confiance, qu’une donnée existait avant un instant donné Spec: RFC 3161, §1 RFC 3161 §1 ; dans le cadre de l’UE, cette autorité relève d’une politique destinée aux prestataires de services de confiance émettant des horodatages. Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF demande et intègre le jeton. Il n’exploite pas l’autorité d’horodatage, et l’intégration d’un horodatage ne rend pas, à elle seule, une signature qualifiée.
Ce que disent les preuves
Section intitulée « Ce que disent les preuves »Evidence: Standard-backed L’exigence de QSCD est explicite dans les politiques de certificats qualifiés : les obligations de l’abonné (ou du TSP gestionnaire) imposent que les signatures numériques soient créées uniquement par un QSCD. Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 Le dispositif lui-même est défini comme un dispositif qui détient la clé privée de l’utilisateur, la protège contre toute compromission et effectue la signature pour le compte de l’utilisateur Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 ; pour une personne physique, la clé privée doit être sous le contrôle exclusif du signataire. Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5 Une bibliothèque de signature ne peut remplir aucune de ces obligations pour le compte de la chaîne.
Evidence: Standard-backed Ce qui rend un certificat qualifié se trouve dans les déclarations QC du certificat, notamment l’indication exploitable par machine qu’il a été émis comme certificat qualifié de signature électronique, ainsi que les données identifiant le prestataire de services de confiance qualifié qui l’a émis. Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 Une bibliothèque qui consomme un certificat pour construire une signature ne rend pas le certificat qualifié ; c’est le QTSP qui l’a émis qui le fait.
Evidence: Standard-backed Le temps de confiance relève d’un rôle de prestataire à part entière. RFC 3161 définit une autorité d’horodatage comme un tiers de confiance qui fournit une preuve d’existence pour une donnée à un instant donné Spec: RFC 3161, §1 RFC 3161 §1 ; ETSI EN 319 421 spécifie les exigences de politique et de sécurité applicables aux prestataires de services de confiance émettant des horodatages, qui peuvent étayer des signatures numériques ou prouver qu’une donnée existait avant un instant donné. Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF intègre un jeton issu d’un tel prestataire ; le statut qualifié du prestataire, le cas échéant, est celui du prestataire, pas celui du moteur.
Exemple pratique
Section intitulée « Exemple pratique »Il n’existe pas d’API qui « rende une signature qualifiée », et un exemple de code laissant entendre le contraire serait une erreur. L’artefact utile ici est une liste de contrôle des responsabilités qu’un relecteur peut utiliser :
| Maillon de la chaîne | À qui il appartient | La part de NextPDF |
|---|---|---|
| Certificat qualifié émis | Prestataire de services de confiance qualifié | Le consomme ; ne l’émet pas |
| Signature sur un QSCD | Le signataire + le dispositif | Signe à travers lui ; n’est pas un QSCD |
| Contrôle exclusif de la clé privée | Le signataire + le dispositif | Ne détient jamais la clé sur un QSCD |
| Le prestataire/service est qualifié | Le QTSP + la supervision | N’affirme rien à ce sujet |
| Repérable via les listes de confiance | Les opérateurs de listes de confiance | Ne les exploite ni ne les contrôle |
| La signature PDF est bien formée | Le moteur de signature | C’est la case de NextPDF |
| Horodatage de confiance intégré | Une autorité d’horodatage | Demande et intègre le jeton |
| Matériel de validation à long terme | Le flux de signing/validation | Peut l’intégrer (voir Documents liés) |
Si l’une des lignes situées au-dessus de la case du moteur n’est pas remplie, le résultat est — au mieux — une signature avancée valide, et non une signature qualifiée. NextPDF peut rendre vraie chaque ligne qui lui appartient sans pour autant rendre la signature qualifiée, car ce statut n’est pas du ressort du moteur.
Idée fausse courante
Section intitulée « Idée fausse courante »« NextPDF produit des signatures qualifiées. »
Ce n’est pas le cas, et la formulation exacte compte. NextPDF produit des signatures PDF structurellement correctes et est compatible avec la signature sur un QSCD et l’intégration d’horodatages émis par un prestataire qualifié. Le fait qu’une signature donnée soit qualifiée dépend du déploiement : cela dépend d’un certificat qualifié, d’un QSCD, d’un prestataire de services de confiance qualifié et de l’inscription sur une liste de confiance — dont aucun n’est fourni ni certifié par le moteur. L’affirmation correcte est « NextPDF assemble la signature ; le statut qualifié provient du certificat, du dispositif et du prestataire. » En dire davantage, c’est revendiquer abusivement un statut juridique qu’un logiciel ne peut accorder.
Limites et frontières
Section intitulée « Limites et frontières »La frontière, énoncée clairement et sans atténuation :
- Ce qu’est NextPDF. Un moteur de signature PDF 2.0. Il construit la signature selon Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 , signe à travers un dispositif lorsqu’on lui en fournit un, et peut intégrer un horodatage et du matériel de validation à long terme.
- Ce que NextPDF n’est pas. Il n’est pas un QSCD, pas un prestataire de services de confiance qualifié (ni d’aucune sorte), pas une autorité de certification et pas un opérateur de liste de confiance. Il n’évalue pas, ne confirme pas et ne confère pas le statut qualifié.
- Être conforme n’est pas être certifié. C’est un énoncé structurel selon lequel NextPDF construit des signatures conformes à la norme de signature PDF et peut porter les éléments qu’attend un profil AdES. Ce n’est pas une certification que la signature résultante est qualifiée, ni un substitut aux conditions de QSCD, de certificat, de prestataire et de liste de confiance qui — ensemble — la rendent telle.
- La juridiction est déterminante. « Qualifié » et son effet juridique sont définis par le règlement eIDAS dans son champ d’application. Cette page est une explication d’ingénierie, pas un conseil juridique. La suffisance juridique d’une signature pour un usage donné relève du droit applicable et du conseil des parties, pas de la documentation d’une bibliothèque.
| Edition | Availability |
|---|---|
| Core | Core construit le support de signature PDF et le conteneur CMS. À lui seul, il ne contribue pas au statut qualifié. |
| Pro | Pro ajoute la signature à clé gérée et l’augmentation de signature, décrites en termes de comportement. Il n’est toujours pas un QSCD ni un prestataire de services de confiance. |
| Enterprise | Enterprise ajoute la signature par jeton matériel via PKCS#11, de sorte que la clé de signature peut résider sur un dispositif qu’un déploiement exploite comme un QSCD. Le moteur signe à travers le dispositif ; le statut qualifié demeure celui du certificat, celui du dispositif et celui du prestataire — jamais celui du moteur. |
Mini-FAQ
Une signature avancée est-elle la même chose qu’une signature qualifiée ? Non. Elles peuvent paraître identiques dans une visionneuse. Une signature qualifiée requiert en plus un certificat qualifié, un QSCD et un prestataire de services de confiance qualifié ; une signature avancée non. La différence tient à la chaîne, pas aux octets du PDF.
Signer sur un HSM rend-il une signature qualifiée ? Pas à lui seul. Un QSCD est nécessaire mais pas suffisant. Le certificat doit être un certificat qualifié émis par un prestataire de services de confiance qualifié, et le dispositif doit satisfaire aux critères de QSCD pour ce déploiement. Un HSM générique n’est pas automatiquement un QSCD.
Ajouter un horodatage rend-il une signature qualifiée ? Non. Un horodatage de confiance renforce la durabilité et la preuve du temps ; il ne fournit pas les conditions de certificat, de dispositif ou de prestataire qui définissent le statut qualifié. Il est nécessaire aux profils à long terme, pas suffisant pour le statut qualifié.
NextPDF peut-il te dire si ta signature est qualifiée ? Non. Le moteur n’affirme rien sur le statut qualifié. L’établir relève du certificat, du dispositif, du prestataire, des listes de confiance et du droit applicable — hors de la responsabilité du moteur.
Documents liés
Section intitulée « Documents liés »- La signature adossée à un HSM — la couture matérielle qu’utilise une signature reposant sur un QSCD, et l’endroit où se situe la frontière de la clé.
- Horodatages et temps de confiance — ce que prouve un horodatage RFC 3161 et le rôle de prestataire qui le sous-tend.
- La validation à long terme — le matériel de validation qui maintient une signature vérifiable dans le temps.
Glossaire
Section intitulée « Glossaire »- Signature électronique qualifiée — au sens du règlement eIDAS, une signature électronique avancée créée par un QSCD et fondée sur un certificat qualifié ; un statut juridique, pas une fonctionnalité logicielle.
- eIDAS — règlement (UE) n° 910/2014 sur l’identification électronique et les services de confiance ; le cadre juridique définissant « qualifié » et son effet.
- QSCD (dispositif de création de signature qualifié) — un dispositif satisfaisant aux critères eIDAS ; selon les termes de l’ETSI, un dispositif cryptographique sécurisé détenant la clé de l’utilisateur, la protégeant et signant pour le compte de l’utilisateur.
- Certificat qualifié — un certificat émis par un prestataire de services de confiance qualifié dont les déclarations QC le désignent, sous une forme exploitable par machine, comme qualifié pour la signature électronique.
- QTSP (prestataire de services de confiance qualifié) — un prestataire de services de confiance supervisé qui émet des certificats qualifiés et les services qualifiés associés.
- Liste de confiance — preuve publiée par laquelle une partie utilisatrice établit qu’un prestataire et un service étaient qualifiés.
- Contrôle exclusif — l’obligation que la clé privée d’un signataire personne physique soit conservée sous le contrôle exclusif de ce signataire.
- Autorité d’horodatage (TSA) — un tiers de confiance fournissant une preuve d’existence pour une donnée à un instant donné (RFC 3161).