Forum

Bonjour,

Depuis le mois d'octobre, les réponses aux appels d'offres sont dématérialisés.
Il faut pour cela utiliser un certificat de signature électronique RGS **

Plusieurs sociétés proposent ce genre de certificat sur un support physique moyennant finance.
Connaissez vous des alternatives sous Linux qui soient estampillés RGS **

Cordialement

Alors je ne connaissais pas, j'ai regardé quelques sites :

Les classes de certificats (et en passant le RGS)
https://fr.wikipedia.org/wiki/R%C3%A9f%C3%A9rentiel_g%C3%A9n%C3%A9ral_de_s%C3%A9curit%C3%A9#Type_de_certificats_RGS
Le principe de chiffrement/signature
https://ssi.ac-strasbourg.fr/publications/le-technique/la-signature-electronique/
un vendeur qui certifie
https://www.ssl-europa.com/solutions/signatures-electroniques/ce-rgs-2/

En gros, le vendeur fournie de banales clefs faites avec GPG, une chiffrement RSA 2048 standard... Le hic, rien ne nous dit qu'il fait une copie ! C'est plutôt bien payé comme boulot ça, fournir des clefs ^^

En gros, ça permets, avec ta clef, de certifier les documents que tu envois. Mais coté réception, ta clef doit être de confiance, il doit y avoir une autorité qui vient la certifier. L'équivalent libre, il y a, tu peux faire comme tous ceux qui paient, mais, est-ce que le destinataire acceptera ta clef ?
Sinon, vers quelle instance peux-tu aller pour faire certifier ta clef ?

Il devrait y avoir un moyen, mais ça à l'air assez nouveau et peu documenté.

Édité par Jybz Le 11/10/2018 à 13h03

Bonjour,
Il y a une méthode ici pour Linuxmint :

https://forums.linuxmint.com/viewtopic.php?f=63&t=256532

Depuis la page wikipedia précédemment donnée ( https://fr.wikipedia.org/wiki/R%C3%A9f%C3%A9rentiel_g%C3%A9n%C3%A9ral_de_s%C3%A9curit%C3%A9 ) on trouve un lien en fin de chapitre "Référencement et qualification RGS" qui balance vers :

Le site de la modernisation ( http://references.modernisation.gouv.fr/liste-des-offres-referencees ) qui lui même renvois vers :

la société qui certifie les autres sociétés revendeuses ( http://www.lsti-certification.fr/index.php/fr/ ). Elle précise qu'elle ne fait rien pour le client, mais qu'il faut passer par d'autre (comme le montre cette liste : http://www.lsti-certification.fr/index.php/fr/services/certificat-electronique )
Mais dans "certification -> eIDAS" ( http://www.lsti-certification.fr/index.php/fr/certification/eidas ) on retrouve plein d'autre informations :
Cofrac l'instance française d'accréditation (pour la certification à la réglementation européenne eIDAS).
Les organes de controle de l'UE ( http://www.fesa.eu/members.html ) qui en se baladant on retrouve une liste d'institut français :
http://www.fesa.eu/country-fr.html

Ai-je bien compris :
Cofrac a accrédité LSTI a certifier des entreprises a délivrer des clefs de signature/chiffrement certifiées ?
J'ai perdu l'ANSSI dedans...

En tout cas, les lobbys on gagné un truc avec ça. Supprimer les associations du marché public, ou réduire encore leurs finances (avec des certificats qu'il faudra racheter constamment).

Comme le dit Jybz :

le problème réside dans la confiance attribuée à la clé.
Comme il s'
Dans les processus commerciaux, quelqu'un s'assure que Toto d

Ma réponse est partie un peu trop vite, par paresse de retirer les gants !

Comme le dit Jybz :


le problème réside dans la confiance attribuée au certificat.

Comme il s'agit d'une clé à usage professionnel, il faut garantir que la personne qui utilise le certificat a le droit d'engager la société.
Dans les processus commerciaux, quelqu'un s'assure que Toto de la société Tartanpion a le droit de demander une clé au nom de la dite société.

Peut-il exister un processus semblable dans le monde libre ?

Pas à ma connaissance.

Pour que ce processus existe dans le monde libre, une association doit obtenir "quelque chose" pour certifier au niveau européen les clefs, qu'on lui donne avec une preuve de lien avec la société (ou association) qui souhaite obtenir une clef certifiée.
(quelque chose étant : un certificat ou une accréditation, ou autre chose encore dont j'ignore.)

Dans le monde libre, la clef doit être générée du coté du client, puis être certifiée par un tiers. (Si le tiers donne la clef, il pourrait avoir une copie, ainsi on ne peut plus faire confiance à la clef.)

Je n'ai pas connaissance d'une telle association qui délivrerai ce certificat. Anssi ? :'D

Bonjour André,
Cette partie concerne l'installation d'un lecteur de carte contenant le certificat. Il n'empêche pas la nécessité d'acquérir le matériel et le certificat correspondant.
J'en utilise un, avec lecteur de carte à puce. Le lecteur et la carte sont fournis gratuitement par l'une des administrations avec qui je correspond. Evidemment, rien n'est fourni pour que ça fonctionne sous Linux.
J'ai réussi à récupérer via un lien limite pas très autorisé d'un pilote fourni par le fabriquant des lecteurs et qui permet d'accéder au certificat depuis Firefox. Ouf.
Une autre administration me fournit une carte pour 100 €, valable trois ans.
Des négociations sont en cours pour fournir à ma profession une carte multi-certificats pour 200€. Il parait que les avocats échangent avec les tribunaux de cette manière.
Unes des fonctions est de la non-répudiation. Il faut que vous ne puissiez pas dire que ce contrat signé électroniquement, ce n'est pas vous qui l'avez signé. C'est en grande partie sur ce point que l'intervention d'un tiers est nécessaire.