La signature électronique permet, à l’aide d’un procédé cryptographique, de garantir l’intégrité du document signé et l’identité du signataire. (DCSSI).
En d'autres termes, elle permet de garantir qu'un document électronique est, comme pour un original papier, le document authentique considéré.

Document électronique fiable

Pour être fiable, un document doit apporter certaines garanties :

• l'expéditeur est authentifié,
• le document n'a pas été modifié ou altéré,

C'est la signature électronique qui répond à ces besoins. A ces derniers on peut rajouter 2 conditions supplémentaires :

• pouvoir s'assurer de la date et de l'heure de création du document (horodatage).
• vérifier que le destinataire à bien reçu le document (y compris dans le cas où, de mauvaise fois, il nierait l'avoir reçu).

Dispositions légales

La signature électronique n'est pas qu'un concept technique ou commercial. Le principe légal de la signature électronique est précisé dans des textes de 2 origines :

• le parlement européen et principalement la directive 1999/93/CE
• le législateur français avec l'article 1316-4 du code civil (loi n° 2000-230 du 13 mars 2000), ainsi que le décret n° 2001-272 du 30 mars 2001.

La législation reconnaît à la signature électronique la même valeur qu'une signature manuscrite si elle répond à 2 conditions :

• l'utilisation d'un système de création de signatures certifié,
• l'utilisation d'un certificat pour vérifier la signature.

Ces conditions sont détaillées dans les textes mais restent purement théoriques. Elles ne fixent pas les techniques à employer pour y parvenir, ce qui conserve à ces dispositions une relative indépendance vis-à-vis des évolutions technologiques.

Mise en oeuvre

Dans la pratique, il faut donc disposer au moins de 2 choses :

• un certificat qui atteste de l'identité de l'auteur.
  Le certificat est la pièce qui associe à une entité (client ou serveur), sa clé publique.
• un dispositif qui permet de signer le document.
  Ce dispositif va coder le document à l'aide de la clé dont dispose l'expéditeur.

Le dispositif mis en place par l'utilisateur ou son fournisseur pour gérer les certificats et les clés est la PKI (Private Key Infrastructure) ou IGC (Infrastructure de Gestion de Clés). La norme admise est X509.
Il faut ajouter probablement à ce dispositif une ressource pour horodater le document.
Bien entendu, il ne sert pas à grand-chose d'authentifier aussi fortement un document si on ne peut pas produire ce document en cas de litige ou de contrôle. C'est l'archivage pour preuve (dit Archivage légal, voir ce dossier).
Expéditeur et destinataire doivent conserver conjointement ce document dans des conditions techniques très strictes, mais il est généralement plus simple et plus fiable d'avoir recours à un tiers archiveur.