À propos des signatures numériques

From LibreOffice Help
Jump to: navigation, search

LibreOffice permet de signer numériquement vos documents et macros.

Certificats

Pour signer numériquement un document, vous devez posséder une clé personnelle, le certificat. Une clé personnelle est stockée sur votre ordinateur sous forme de combinaison d'une clé privée (qui doit être gardée secrète) et d'une clé publique, que vous ajoutez à vos documents lorsque vous les signez.

Enregistrer et signer le document

Lorsque vous appliquez une signature numérique à un document, une sorte de somme de contrôle est calculée à partir du contenu de votre document et de votre clé personnelle. La somme de contrôle et votre clé publique sont enregistrées avec le document.

Ouvrir un document signé

Par la suite, lorsqu'un utilisateur ouvre le document sur un ordinateur disposant d'une version récente de LibreOffice, le programme calcule de nouveau la somme de contrôle et la compare à celle qui est enregistrée. Si les deux sommes sont identiques, le programme vous informe que le document affiché correspond au document d'origine. Le programme peut en outre afficher les informations relatives à la clé publique à partir du certificat.

Vous pouvez comparer la clé publique à la clé publique publiée sur le site Web de l'autorité de certification.

Lorsqu'un utilisateur modifie le document, la signature numérique est également modifiée. Après la modification, vous n'aurez aucun moyen de savoir si le document affiché est le document d'origine.

Le résultat de la validation de la signature est affiché dans la barre d'état et dans la boîte de dialogue Signature numérique. Plusieurs signatures de documents et de macros peuvent exister dans un document ODF. S'il y a un problème avec une signature, alors le résultat de la validation de cette signature est supposé pour toutes les signatures. C'est à dire que s'il y a dix signatures valides et une signature non valide, alors la barre d'état et le champ de statut dans la boîte de dialogue marqueront la signature comme non valide.

Vous pouvez voir les icônes et messages suivants lorsque vous ouvrez un document signé.

Icône de la barre d'état Statut de la signature
Icône
La signature est valide.
Icône
La signature du document est correcte, mais le certificat n'a pas pu être validé.

La signature et le certificat sont OK, mais toutes les parties du document ne sont pas signées (pour les documents qui ont été signés avec d'anciennes versions du logiciel, voir la note ci-dessous).

Icône
La signature n'est pas valide.

Signatures et versions de logiciel

La signature de contenu a été modifiée avec OpenOffice.org 3.2 et StarOffice 9.2. Maintenant, tout le contenu des fichiers, excepté le fichier de signature lui-même (META-INF/documentsignatures.xml) est signé.

When you sign a document with OpenOffice.org 3.2 or StarOffice 9.2 or a later version, and you open that document in an older version of the software, the signature will be displayed as "invalid". Signatures created with older versions of the software will be marked with "only parts of the document is signed" when loaded in the newer software.

When you sign an OOXML document, then the signature will be always marked with "only parts of the document is signed". Metadata of OOXML files are never signed, to be compatible with Microsoft Office.

When you sign a PDF document, then this marking is not used. Signing only parts of the document is simply an invalid signature.

Signing other document formats is not supported at the moment.

Note.png Lorsque vous chargez un document ODF, vous allez voir une icône dans la barre d'état et le champ d'état dans la boîte de dialogue qui indique que le document est seulement partiellement signé. Ce statut apparaîtra lorsque la signature et le certificat sont valides mais ils ont été créés avec une version antérieure à OpenOffice.org 3.2 ou StarOffice 9.2. Dans les versions OpenOffice.org antérieures à 3.0 ou StarOffice 9.0, la signature de document était appliquée au contenu principal, aux images et objets incorporés seulement et certains contenus comme les macros n'étaient pas signés. Dans OpenOffice.org 3.0 et StarOffice 9.0 la signature du document était appliquée à la plupart du contenu, y compris les macros. Cependant, le type Mime et le contenu du répertoire META-INF n'étaient pas signés. Dans OpenOffice.org 3.2, StarOffice 9.2 et toutes les versions de LibreOffice, tout le contenu, excepté le fichier de signature lui-même (META-INF/documentsignatures.xml) sont signés.

Avertissements de sécurité

Même lorsque vous recevez un document signé et que la validité de la signature est confirmée, vous ne pouvez pas être certain que le document reçu correspond au document envoyé. La signature de documents à l'aide de certificats ne constitue pas un procédé totalement sécurisé. Il existe de nombreuses failles exploitables.

Exemple : un expéditeur peut se faire passer pour un employé de votre banque. Il peut en effet se procurer un certificat sous un faux nom, puis vous envoyer un message électronique signé en prétendant travailler pour votre banque. Vous recevez ce message, dont le contenu ou la pièce jointe est associé à l'icône de "signature valide".

Ne vous fiez pas à cette icône. Inspectez et vérifiez les certificats.

Warning.png La validation de la signature ne constitue en aucun cas une garantie légale.

Les systèmes d'exploitation Windows possèdent leurs propres fonctionnalités de validation de signatures. Sur les systèmes Solaris et Linux, ce sont les fichiers de validation fournis par Thunderbird, Mozilla ou Firefox. Vous devez vérifier que les fichiers utilisés sur votre système correspondent aux fichiers d'origine. Les pirates ont mis au point de nombreux procédés leur permettant de substituer les fichiers d'origine par leurs fichiers.

Warning.png Les messages de validation de signature générés dans LibreOffice sont les messages renvoyés par les fichiers de validation. Le logiciel LibreOffice ne dispose d'aucun moyen de garantir l'authenticité des certificats. Les messages affichés dans LibreOffice sont générés par des fichiers qui ne sont pas sous le contrôle de LibreOffice. Légalement, LibreOffice ne peut apporter aucune garantie quant à la validité des informations contenues dans les messages d'état des signatures numériques.

Related Topics

Page de Wiki en anglais sur les signatures numériques

Application de signatures numériques

Ouverture d'un document en utilisant WebDAV à travers HTTPS