web-dev-qa-db-fra.com

Identité électronique et signatures numériques - pourquoi ils sont différents?

Cela me semble (au moins) qui est généralement admis que "l'identité électronique" et "signatures numériques" sont une chose différente. Par exemple, dans la carte d'identité estonienne, il existe deux certificats - un pour identité et une signature.

Ils correspondent aux actions réelles de "montrer" votre carte d'identité aux autorités et à la signature d'un document, respectivement.

Cependant, je ne comprends pas pourquoi ils doivent être différents. La même technologie avec la même infrastructure est/peut être utilisée pour les deux. Pourquoi ne pouvez-vous pas utiliser votre signature numérique pour vous identifier (ou votre paire de clé d'identité électronique pour signer un document numériquement).

Dans les deux cas, vous utilisez votre clé privée pour signer quelque chose.

Il y a des implications, bien sûr, par exemple. Vous pensez peut-être que quelqu'un vérifie simplement votre identité, mais en fait, vous pouvez signaler un document que vous ne voulez pas signer. Mais on peut vous offrir de signer un document inoffensif (par exemple, signer ce reçu numérique "non-sens), mais en fait, vous pouvez signer un prêt. Les gens peuvent être trompés via l'interface utilisateur pour la signature numérique/identifiant de toute façon. (Question connexe: Quels sont les moyens d'éviter que cela se produise?)

La distinction est-elle nécessaire uniquement pour protéger le propriétaire, ou il existe un facteur plus important de diviser une solution technologique unique en deux?

9
Bozho

Il y a quelques raisons pour utiliser différentes clés pour la signature et l'authentification:

  1. Lors de l'utilisation de deux touches, des certificats associés peuvent être émis à partir de différents CAS qui permettent uniquement aux sites Web de demander à l'utilisateur le certificat d'authentification sur la connexion.

  2. Les certificats peuvent être publiés avec une utilisation de clé différente - l'authentification dont l'authentification n'a pas besoin de non-répudiation et que la signature n'a pas besoin d'accéder à un client SSL.

  3. Habituellement, les deux touches sont protégées par différentes broches avec une stratégie différente PIN. La clé d'authentification a simple PIN POLITIQUE - après l'authentification de la broche, le La clé peut être utilisée jusqu'à la fermeture de la session. D'autre part, la touche de signature nécessite généralement le PIN à saisir avant toute opération avec la clé.

Je n'ai jamais utilisé EID estonien, mais sur quelques EID différents, j'ai testé les clés sont émises à partir de différents CAS, avec différents drapeaux d'utilisation de clé et avec différents PIN STOCTUTIONS telles que décrites aux points 1 à 3.

EDIT: Une autre raison d'utiliser différentes clés:

  1. Une carte à puce pourrait être configurée pour refuser une importation de clé pour une fente de signature et la permettre pour un emplacement d'authentification, ou pourrait prendre en charge différents mécanismes de crypto pour différentes machines à sous ...
4
Vasil Badev

Une signature numérique est un mécanisme technologique par lequel vous pouvez faire plusieurs choses, l'une d'elles étant prouve votre identité à une autre entité: il s'agit d'un protocole d'authentification.

Votre identité est une propriété inhérente à, disons, vous-même; La notion de "identité électronique" signifie vraiment "quelque chose qui désigne votre identité et est agréable à un mécanisme d'authentification".

Il peut y avoir des mécanismes d'authentification qui n'utilisent pas de signatures. Chaque fois que vous tapez un mot de passe sur un site Web, vous utilisez un tel mécanisme: vous "identité électronique" est alors votre compte enregistré.

Inversement, il existe des utilisations de signatures numériques qui ne sont pas destinées à l'authentification, mais pour la non-répudiation: vous ne prouvez pas seulement votre identité à quelqu'un d'autre, mais vous donnez également une preuve qui pourrait être validée après par un tiers qui ne fait pas partie du protocole initial.

Ainsi, les deux notions sont assez distinctes.


Malheureusement, il semble que certaines personnes vivent uniquement pour abuser de la terminologie. Une clé privée que vous possédez et que vous pourriez utiliser dans divers protocoles d'authentification a été décrite, parfois et par des personnes distinctes, comme "identité numérique", "identité électronique", "signature numérique", "certificat numérique" et myriades d'autres termes . Beaucoup de confusion se propage de cela.

Dans le cas de la carte d'identité estonienne, il est plausible que les deux certificats et les deux clés privées correspondantes sont séparés comme une application quelque peu aveugle et semi-maniaque du principe de "une utilisation pour chaque clé".

1
Tom Leek