Centre de certification du Québec

Le Centre de certification du Québec de la Chambre des notaires du Québec est une infrastructure à clés publiques développée par Notarius. Cette infrastructure permet à ses membres et à d'autre clientèle d'effectuer en toute sécurité des transactions électroniques et d'échanger de l'information en toute confidentialité. Le rôle du Centre de certification du Québec consiste notamment à attribuer un certificat contenant des renseignements préalablement vérifiés et confirmant l'identification du détenteur de clés et de certificats. Notarius assure, entre autres, la délivrance et la gestion des clés et des certificats.

Qu'est-ce qu’une Infrastructure à clés publiques (ICP) ?

La popularité grandissante d'Internet et l'avènement des transactions électroniques sur des réseaux ouverts suscitent de nombreuses inquiétudes. Les transactions sont-elles confidentielles ? Comment s'assurer de l'identité et de la qualité de l'expéditeur et du destinataire ? Comment se protéger contre l'altération et la falsification des transactions ?

La réponse à ces inquiétudes est l'Infrastructure à clés publiques (ICP), qui est constituée de politiques, d'une autorité de certification, de services de gestion, de logiciels cryptographiques utilisant la cryptographie à clés publiques et des certificats de signatures numériques. Les mécanismes d'une ICP offrent, tant sur le plan technique que juridique, les garanties suivantes :

  • la confidentialité de la transaction électronique : la transaction est encodée de telle sorte que seul le destinataire peut la décoder avec sa clé privée.
  • l'intégrité et l'intégralité de la transaction : le destinataire est assuré que la transaction n'a pas été altérée et qu'elle est reçue en entier.
  • l'identité de l'expéditeur : le destinataire peut vérifier l'identité de l'expéditeur et la validité de son certificat en consultant le répertoire et les listes de certificats révoqués du Centre de certification maintenus par Notarius. Ce répertoire permet de vérifier si le certificat d'identité de l'expéditeur est toujours valide ou s'il a été révoqué ou suspendu. Ce qui permet au destinataire de s'assurer que les conditions nécessaires à la validité de la transaction sont rencontrées ou non.

Qu'est-ce qu'une autorité de certification ?

Une autorité de certification est une composante principale de l'Infrastructure à clés publiques (ICP). Il s'agit d'un tiers de confiance qui est chargé d'émettre des certificats numériques et de les gérer tout au long de leur période de validité. Les certificats numériques sont des dossiers électroniques contenant la clé publique de l'utilisateur et de l'information précise permettant de l'identifier. L'autorité de certification certifie que la personne à qui on accorde le certificat numérique est bien qui elle prétend être.

Sécurité technique et sécurité juridique

Le système de clés et de certificats permet de signer et de chiffrer l'information transmise de façon à ce que seuls les destinataires choisis puissent en prendre connaissance, ce qui assure la confidentialité de l'information. De même, ce procédé fait en sorte que la moindre altération du document lors de sa transmission est immédiatement détectée, puisqu'une modification du document, même la plus légère, entraîne l'impossibilité de le déchiffrer. Avec cette garantie, il est certain qu'il y aura conformité entre l'information transmise par l'utilisateur et celle reçue par le destinataire. Ce procédé repose sur des normes reconnues mondialement, tant au niveau des algorithmes permettant de générer les clés, que des répertoires et des certificats basés sur les normes X.500 et X.509.

Au point de vue juridique, la certification de l'identité d'un signataire d'un document est assurée par la vérification de l'identité du détenteur lors de la demande initiale. Par la suite, tout au long du cycle de vie des certificats, le gestionnaire du Centre de certification du Québec s'assure de maintenir ce niveau de confiance. Les informations ainsi vérifiées se retrouvent dans les certificats attachés aux clés privées et publiques du détenteur.

Le fonctionnement de la signature numérique en détail

Les clés publiques et les clés privées

Chaque détenteur se voit attribuer une paire de clés publiques et une paire de clés privées. Les clés publiques sont disponibles pour les autres détenteurs dans la base de données du répertoire X.500. Elles servent à protéger la confidentialité d'un document et à vérifier la signature d'un autre détenteur.

Les clés privées sont détenues uniquement par le détenteur. L'une sert à signer un document électronique et l'autre à le déchiffrer pour en vérifier l'intégrité.

Afin de s'assurer de la validité d'une signature, le destinataire doit consulter la liste de certificats révoqués publiée par le Centre de certification du Québec. La consultation de la liste de révocation se fait en ligne et de façon automatique lors de l'utilisation du logiciel Entrust ou d'un produit ayant intégré cette technologie.

Les clés et les certificats émis par le Centre de certification du Québec sont valides pour une période de deux ans. Ils sont renouvelables automatiquement, environ deux mois avant la date d'échéance, lors de l'utilisation en ligne du logiciel client fourni par le gestionnaire du CCQ ou d'un produit ayant intégré cette technologie.

Par ailleurs, les certificats des utilisateurs sont signés par l'autorité de certification (CCQ). Un utilisateur peut ainsi vérifier la validité et l'intégrité du certificat émis par l'autorité de certification en utilisant sa clé publique de vérification et en consultant les listes de révocation propres aux autorités de certification.

Les certificats

Les certificats sont émis conformément à la norme X.509 et sont signés par le Centre de certification du Québec pour en assurer l'intégrité. Ils contiennent notamment les éléments de base suivants :

  • le nom du détenteur;
  • le nom de l'autorité de certification;
  • la date d'émission et d'expiration du certificat;
  • un numéro de série unique attribué au certificat;
  • la signature de l'autorité de certification;
  • la clé de vérification de signature ou la clé publique d'encodage, selon le cas;
  • la version de la norme X.509 utilisée;
  • le nom distinctif de la liste de révocation correspondante;
  • l'identifiant de politiques.

Les listes de certificats révoqués (LCR)

Les listes de certificats révoqués publiées par le Centre de certification du Québec contiennent les numéros de série des certificats révoqués. Elles indiquent également la date et l'heure de la révocation et sont signées à l'aide de la signature numérique de l'autorité de certification pour en assurer l'intégrité. Elles sont mises à jour au minimum à toutes les quatre heures par l'autorité de certification.

La certification croisée ou réciproque

L'interconnexion des systèmes rend inévitable le besoin de communication entre utilisateurs d'ICP différentes. La certification réciproque permet aux usagers de deux autorités de certification indépendantes de transiger en confiance. Puisque les normes de certification peuvent varier d'une ICP à l'autre, avant d'établir une certification croisée, les deux ICP doivent comparer leurs politiques pour assumer l'équivalence du niveau de confiance entre les deux ICP. La certification croisée s'effectue sur la base d'ententes de réciprocité entre les autorités détenant des ICP, lesquelles doivent s'assurer que la chaîne de validité et de sécurité ne soit compromise.