PC SOFT

FOROS PROFESIONALES
WINDEVWEBDEV y WINDEV Mobile

Inicio → Irrelevante → Certification NF 525
Certification NF 525
Iniciado por Yo!, 14,ene. 2015 14:22 - 175 respuestas
//hostimage.webdev.info/avatars/default.gif
Publicado el 14,enero 2015 - 14:22
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la certification NF525, comme il l'avait dit le mois dernier ... fouillé, rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…
________________________________________________________________________________

1 - Signature électronique => Il me semble qu'il n'est pas obligatoire de signer chaque ligne mais uniquement l'entête ? La dernière mouture de la certification le prévoit-elle ? Risque de ralentir drastiquement l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les fonctions doivent-elles être listées lors de l'Audit ou il faut axer la carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests envisager ?

A vous lire.

MERCI !

Yo!
//hostimage.webdev.info/avatars/default.gif
Publicado el 14,enero 2015 - 15:50
Salut,

Réponse ci après


Le 14/01/2015 13:22, Yo! a écrit :
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la
certification NF525, comme il l'avait dit le mois dernier ... fouillé,
rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée
un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au
bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…

________________________________________________________________________________


1 - Signature électronique => Il me semble qu'il n'est pas obligatoire
de signer chaque ligne mais uniquement l'entête ? La dernière mouture de
la certification le prévoit-elle ? Risque de ralentir drastiquement
l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine
de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de
logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il
possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer
dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les
fonctions doivent-elles être listées lors de l'Audit ou il faut axer la
carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests
envisager ?

A vous lire.

MERCI !

Yo!



1. Ce sont effectivement toutes les lignes qu'ils faut signer et pas
uniquement les entêtes. Très sincèrement, nous n'avons pas constaté de
ralentissement particulier lors de l'enregistrement.

2. Si tu trouve un soft capable de faire la cartographie, n'utilise pas
excel, bien évidemment. Seul problème, la carto est un gros travail et
même si je suis prêt à donner les grandes lignes, il ne me sera pas
possible de diffuser un document exemple (pas d'autorisation dans ce
sens de ma hiérarchie)

L'idée n'est pas de détailler jusqu'à la plus petite fonction, mais si
par exemple tu as une fonction : EnregistreFacture, il va falloir lister
tous les endroits de ton soft ou cette fonction est appellée et la lier
à la fois au bouton de ton interface mais aussi à l’exigence nf 525
correspondante (paragraphe de la NF525) si en plus tu peux lié la
fonction utilisateur au paragraphe correspondant de ta doc, tu as tout
gagné !

Dans un premier temps, axe ton travail sur la carto "NF 525" et ensuite
au fur et à mesure tu l'alimente avec d'autres parties de ton soft.

3 - Prioritairement les plans de tests qui impactent la NF 525
(sécurisation, enregistrement, impression, piste d'audit, ...) et
ensuite tu mets en place des plans de tests pour tout ton soft.

Il faut bien comprendre que l'idée générale est de prouver à l'auditeur
que 1) tu respecte la NF 525 et que 2) tu es capable de garantir la
fiabilité et la pérennité de ton soft. Vu que le "certificateur" engage
sa responsabilité en t'accordant le certificat, il a besoin d'être
rassuré sur la qualité de ton travail au sens large.

Bon courage,

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 15,enero 2015 - 15:38
On ne peut plus clair. Bien normal pour la cartographie (cf. exemple).

Merci beaucoup, Fred, pour le temps passé à répondre avec précision à chacune de mes interrogations.

Si j'ai d'autres questions, je retenterai ma chance. ;)

Un énorme travail en perspective.

A bientôt !

Yo!
//hostimage.webdev.info/avatars/default.gif
Publicado el 16,enero 2015 - 17:59
Le 15/01/2015 14:38, Yo! a écrit :
On ne peut plus clair. Bien normal pour la cartographie (cf. exemple).

Merci beaucoup, Fred, pour le temps passé à répondre avec précision à
chacune de mes interrogations.

Si j'ai d'autres questions, je retenterai ma chance. ;)

Un énorme travail en perspective.

A bientôt !

Yo!


Pas de soucis.

Pour ce qui est de la charge de travail, c'est lourd mais pas impossible
et sincèrement, le fait de se structurer pour répondre à la 525 nous as
fait énormément de bien en terme de qualité.

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 27,enero 2015 - 17:54
Entièrement d'accord avec les termes 'structurer' et 'qualité'.

J'aurais aussi pu ajouter 'charge de travail' & 'lourd'.

Encore merci !
//hostimage.webdev.info/avatars/default.gif
Publicado el 05,febrero 2015 - 16:50
En effet j'ai pas encore posté sur ce sujet.
Je vais bientôt y replonger.

Merci

Laurent
//hostimage.webdev.info/avatars/default.gif
Publicado el 27,mayo 2015 - 10:16
Bonjour,

Je vous invite à consulter le site de l'ACEDISE : www.acedise.fr

Nous sommes à votre disposition.

l'ACEDISE (Association des Constructeurs, Editeurs, Distributeurs, Installateurs de Systèmes d'Encaissement) a participé aux travaux d'élaboration de la marque NF 525.

Jean-Luc BAERT
président
0695891191
jeanluc.baert@acedise.fr
//hostimage.webdev.info/avatars/cIdt9gZBWwUN9ZAFw8yOA
Miembro registrado
3 mensajes
Publicado el 05,febrero 2016 - 15:58
Bonjour,

Nous avons dû mettre entre parenthèses la certification ... nous y revenons.

Est-il possible d'avoir une réponse aux questions posées ci-après ?

1 - En ce qui concerne la Piste d'Audit et sa sécurisation, il est spécifié en 5.4.1.3 qu'elle ne doit être ni modifiable, ni effaçable 'par une fonction du logiciel. Si l'utilisateur efface le fichier, nous sommes d'accord que nous ne parlons pas d'une fonction du logiciel. Difficile de pouvoir restreindre l'effacement sans passer par de l’administration et encore (puis il peut s'agir du matériel, de l'infrastructure client).

2 - Point 7.1.1.6
=> Nous ne voyons pas à quoi pourrait correspondre le champ 'Type de règlement' exigé ? Il est indiqué entre parenthèse 'transfert' mais sur Kezia II, nous ne gérons pas les transferts tables vers un compte client ou une chambre.

=> La même chose pour le champ Quantité dans la mesure où nous enregistrons une ligne à chaque règlement. Ce champ est également exigé dans les données.

3 - Point 7.2
=> Le numéro de ligne de la table duplicata peut-il correspondre au numéro d'enregistrement géré par HyperFile (WINDEV) ? Nous avons déjà un champ 'Identifiant'.

4 - Point 7.1.4
=> La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3) est exigée mais il n'existe aucun code s'y apparentant dans la piste d'audit (cf. 7.1.5). L'enregistrement d'un ticket, d'une facture, d'un avoir, d'une annulation par contre-écriture impacte les grands totaux. Nous proposons d'utiliser le code éditeur '999' et d'ajouter les colonnes y faisant référence lorsqu'un enregistrement mouvemente ces totaux. Proposition valable ?

=> Il est mentionné en partie 4 - Définitions - que le 'Grand Total Perpétuel' totalise l'ensemble du CA TTC validé, que les opérations négatives validées (annulations de tickets validés, notes de crédit) sont comptées en positif et incrémentent ce dernier. On parle de valeurs absolues. Les grands totaux (Période et Exercice) se doivent-ils aussi de fonctionner de la même manière (+ et - ) ou non ? Quid des cumuls des Montants TTC ventilés par taux de TVA ... + et - également ?

A vous lire.

MERCI.

Yo!
//hostimage.webdev.info/avatars/cIdt9gZBWwUN9ZAFw8yOA
Miembro registrado
3 mensajes
Publicado el 10,febrero 2016 - 09:03
###Réponses communiquées par INFOCERT, si ça peut aider ... :

× Point 7.1.1.6

###Exemple table dans Base de données :

ID "Type de règlement" Libellé du mode de règlement
1 "Carte Bancaire" Mastercard
2 "Carte Bancaire" Visa
3 "Ticket Restaurant" Ticket Restaurant
4 "Ticket Restaurant" Chèque Restaurant


× Champ Quantité exigé dans les données :

###Exemple : Si 10 Tickets Restos (1 ligne de règlement « Ticket Resto » avec 10 en quantité)


× Point 7.1.2
Le numéro de ligne peut-il correspondre au numéro d'enregistrement
géré par HyperFile (WINDEV) ?

###Oui, réponse acceptable


× Point 7.1.4
La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3) est exigée mais ...

###La notion de traçabilité des grands totaux devra être discutée car nous n’en voyons pas
l’intérêt.


× Les grands totaux (Période et Exercice) se doivent-ils aussi de fonctionner de la
même manière (+ et - ) ou non ? Quid des cumuls des Montants TTC ventilés par taux de TVA
... + et - également ?

###OUI
//hostimage.webdev.info/avatars/default.gif
Publicado el 11,febrero 2016 - 18:22
Le 10/02/2016 08:03, Johann K. a écrit :
###Réponses communiquées par INFOCERT, si ça peut aider ... :

× Point 7.1.1.6
###Exemple table dans Base de données :

ID "Type de règlement" Libellé du mode de règlement 1 "Carte
Bancaire" Mastercard 2 "Carte Bancaire" Visa
3 "Ticket Restaurant" Ticket Restaurant 4 "Ticket
Restaurant" Chèque Restaurant

× Champ Quantité exigé dans les données :

###Exemple : Si 10 Tickets Restos (1 ligne de règlement « Ticket Resto »
avec 10 en quantité)

× Point 7.1.2 Le numéro de ligne peut-il correspondre au numéro
d'enregistrement géré par HyperFile (WINDEV) ?

###Oui, réponse acceptable

× Point 7.1.4 La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3)
est exigée mais ...

###La notion de traçabilité des grands totaux devra être discutée car
nous n’en voyons pas l’intérêt.

× Les grands totaux (Période et Exercice) se doivent-ils aussi de
fonctionner de la même manière (+ et - ) ou non ? Quid des cumuls des
Montants TTC ventilés par taux de TVA ... + et - également ?
###OUI


Désolé, j'étais en déplacement et je ne rentre qu'aujourd'hui.

Au vu des questions (et des réponses) vous avez bien avancé :)

Pour l'effacement par l'utilisateur de la piste d'audit, si cela ne peut
être restreint, cela doit être détecté et tracé.

Bon courage !

Fred.
//hostimage.webdev.info/avatars/cIdt9gZBWwUN9ZAFw8yOA
Miembro registrado
3 mensajes
Publicado el 22,febrero 2016 - 09:07
Merci pour la réponse concernant la piste d'audit.

Excellente journée Fred.
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Miembro registrado
159 mensajes
Publicado el 29,febrero 2016 - 14:12
Bonjour

Par rapport a la loi de finance 2016, le site du service public a fait un article
https://www.service-public.fr/professionnels-entreprises/actualites/A10279

Dans cet article nous trouvons :
À partir du 1er janvier 2018, devient obligatoire l'utilisation d'un logiciel de gestion ou d'un système de caisse satisfaisant aux conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données, attestées par un certificat délivré par un organisme accrédité ou par une attestation individuelle délivrée par l'éditeur.

Nous avons demande au site du service public, ce que voulez dire "par une attestation individuelle délivrée par l'éditeur." et que devait contenir cette attestation, reponse du site

Un texte réglementaire (décret ou arrêté) doit venir fixer ce modèle d'attestation. Il n'est pas encore paru au JO. L'obligation ne doit entrer en vigueur qu'à partir du 1er janvier 2018. Dès que le modèle d'attestation sera disponible en ligne, nous le référencerons sur service-public.fr.

Est ce quelqu'un a entendu parler de cette attestation ?
La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?

Merci
Olivier
//hostimage.webdev.info/avatars/default.gif
Publicado el 03,marzo 2016 - 15:18
Est ce quelqu'un a entendu parler de cette attestation ?

une attestation signé par l’éditeur engage celui-ci a ce que son logiciel soit conforme a l'article "3° bis du I de l'article 286"
c'est a dire invulnérabilité conservation securisation et archivage des données

C'est vague et précis a la fois . Attention je parle de l'attestation et non pas de la certification. Si le but est identique c'est a dire rassurer le client qui utilise un logiciel d'encaissement la démarche est différentes.

La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?

Cela n'existe pas la norme NF 525 ... c'est une certification

Si un client utilise un système assujetti a la TVA , il doit a partir du 01/01/2018 fournir une attestation de conformité à l'article 88 de la LF 2016 ou un certificat NF 525. sinon il s'expose à 7500€ d'amendes par système. Le contrôleur connaîtra l'éditeur. Ensuite l'éditeur devra fournir la liste de ses clients qui seront eux mêmes contrôler. c'est légal.
cela revient a dire que même si le client ne se fait pas contrôler directement il peut par le reseau client de son éditeur être rattrapé par la patrouille.


Aujourd'hui un client qui achète un produit sans ce renseigner sur la volonté de l’éditeur a aller dans le sens de l'article 88 est pour moi, fou.
J'ai dis "renseigner" j'ai pas dis que l'éditeur aujourd'hui (Mars 2016) forcement certifié...

D'ici quelques semaines , il ne sera pas possible de vendre des logiciels qui n'ont pas entrepris une démarche sérieuse vers l'article 88.
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Miembro registrado
159 mensajes
Publicado el 03,marzo 2016 - 16:07
"La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?"
(évidement si on répond au "c'est a dire invulnérabilité conservation sécurisation et archivage des données")

Si je comprends bien l'article du Service Public , je dirais que non , mais le probleme (pour l'instant ;o)) ) c'est que nous n'avons aucune nouvelle de cette fameuse attestation.
//hostimage.webdev.info/avatars/default.gif
Publicado el 03,marzo 2016 - 17:11
Le 03/03/2016 15:07, Olivier PERRIN a écrit :
"La question que l'on se pose, doit on obligatoirement passer par la
norme NF 525 ?"
(évidement si on répond au "c'est a dire invulnérabilité conservation
sécurisation et archivage des données")

Si je comprends bien l'article du Service Public , je dirais que non ,
mais le probleme (pour l'instant ;o)) ) c'est que nous n'avons aucune
nouvelle de cette fameuse attestation.


Bonjour à tous,

A mon avis (je ne suis pas juriste) C'est juste une question de
responsabilités. Il y a les deux cas de figures:

1. Je suis éditeur et je suis certifié NF525, c'est un organisme
extérieur qui est venu contrôler mon travail et qui certifie que je
respecte les règles. En cas de problème (bug ou autre, on est pas
parfait) c'est cet organisme qui va vérifier que l'éditeur est de bonne
foi. Par rapport au fisc on est de bon élèves

2. Je suis éditeur et j'atteste que mon logiciel est conforme, dans le
même cas de figure (bug ou autre) , il n'y a pas de tiers capable de
dire "ce n'est pas volontaire de la part de l'éditeur". A l'éditeur de
se débrouiller pour prouver sa bonne foi et on ne peut pas dire que dans
l'encaissement on ai une bonne réputation.

j'ai suivi la NF525 depuis ses prémisses et malgré cela il y a pas mal
de points sur lesquels on était passé à coté. On pensait être pas mal et
l'audit à blanc que nous avons passé nous a vite fait déchanter et
passer par l'attestation reviendra à dire "Je suis conforme à 100% à la
NF525, je l'ai vérifié moi même".

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 13,marzo 2016 - 13:40
Il faut bien faire la distinction entre la NF525 et les exigences de la loi.

La certification NF525 est valable un an sous conditions , voir
http://www.jdclr.com/files/JDC-LANGUEDOC-NF525-LEO2-Certificat.pdf

Elle a des exigences, qui ne seront publiques (consultable gratuitement mais uniquement en ligne sur le site AFNOR) QUE si la loi l'impose comme référence, auquel cas elle servira de référence mais ne rendra pas pour autant la certification obligatoire.

De toute façon, tant que l'attestation de l'éditeur ne sera pas définie, cette loi sera inapplicable et la certification ne pourra pas être exigée.
//hostimage.webdev.info/avatars/default.gif
Publicado el 14,marzo 2016 - 11:12
Le 13/03/2016 12:40, Execute a écrit :
Il faut bien faire la distinction entre la NF525 et les exigences de la
loi.

La certification NF525 est valable un an sous conditions , voir



Elle a des exigences, qui ne seront publiques (consultable gratuitement
mais uniquement en ligne sur le site AFNOR) QUE si la loi l'impose comme
référence, auquel cas elle servira de référence mais ne rendra pas pour
autant la certification obligatoire.

De toute façon, tant que l'attestation de l'éditeur ne sera pas définie,
cette loi sera inapplicable et la certification ne pourra pas être exigée.



C'est bien ce qu'on essaye de faire comprendre, la NF525 est un
référentiel de ce que demande les impôts (normal, ils ont participé à
l'élaboration)

Tu as la NF, tu es dans les clous et tu colle à la demande, tu ne l'as
pas, à toi d'être sur que tu correspond à la demande et surtout à toi de
le prouver.

Mais il n'est écrit nulle part que la NF est obligatoire.

Fred
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Miembro registrado
159 mensajes
Publicado el 14,marzo 2016 - 16:58
Moi ce qui me parait surprenant, c'est quand on pose des questions a la DGFIP

"Cette nouvelle disposition de la loi de finances pour 2016 est très récente et doit faire l'objet de la part de nos services à BERCY d'un Bulletin Officiel des Impôts ( BOI) définissant de manière précise le type de logiciel concerné ainsi que les normes attendus .
A ce jour , ce BOI n'est pas encore paru"

Du cote de la DGFIP rien n'est donc encore officiel et les normes pas encore validées.

Alors sur quelle base AFNOR a crée la norme NF525 ?
//hostimage.webdev.info/avatars/default.gif
Publicado el 15,marzo 2016 - 16:24
Le 14/03/2016 15:58, Olivier PERRIN a écrit :
Moi ce qui me parait surprenant, c'est quand on pose des questions a la
DGFIP
"Cette nouvelle disposition de la loi de finances pour 2016 est très
récente et doit faire l'objet de la part de nos services à BERCY d'un
Bulletin Officiel des Impôts ( BOI) définissant de manière précise le
type de logiciel concerné ainsi que les normes attendus .
A ce jour , ce BOI n'est pas encore paru"

Du cote de la DGFIP rien n'est donc encore officiel et les normes pas
encore validées.

Alors sur quelle base AFNOR a crée la norme NF525 ?


Pour la NF525, la base de travail a été la certif des logiciels
comptables. Ce sont ensuite réunis les gens d'infocert qui avaient déjà
travaillé sur le BOI de 2006 qui concernait l'encaissement, des éditeurs
de logiciels (ceux qui ont fait l'effort de participer), la DGFIP et
différents intervenants.

Le principe était de trouver un moyen de rendre les "tricheries"
impossible ( le plus impossible possible) en sécurisant les données
(signature numérique) et en identifiant les fonctionnalités à risques
(mode école non tracé, éditions non numérotés, effacement non
répertoriées, ...)

Au final des propositions ont été faites par les divers participants,
elles ont étés validées par la DGFIP et formalisées par la NF525.

Fin de l'histoire.

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 06,abril 2016 - 17:19
La loi a été voté et parue au J.O 2016/01
vous pouvez consulter les sites :
acedise.fr
infocert.fr
et aussi, la page facebook "je suis NF 525" où vous trouverez des informations, conseils.
bien cordialement

Reine-Marie Noblecourt
//hostimage.webdev.info/avatars/default.gif
Publicado el 29,noviembre 2016 - 11:15
Bonjour,

je me lance moi aussi dans la certification de mon logiciel d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y a des différences avec un éditeur qui vends son outil d'encaissement, connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525).
Je me retrouve avec des checksums d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données explose !
Je base d'une petite base de données de 16 mo à une base de 760 mo !
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?
Mais je rate peut être quelque chose ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à une journée de formation.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Publicado el 29,noviembre 2016 - 11:17
Bonjour,

je me lance moi aussi dans la certification de mon logiciel d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y a des différences avec un éditeur qui vends son outil d'encaissement, connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525).
Je me retrouve avec des chaines signés d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données serait multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à une journée de formation.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Publicado el 29,noviembre 2016 - 13:35
Bonjour

tu es dans un cas très intéressant... Comme tu as les sources de ton
soft, que tu connais les clé d'encryption et tout ce qui concerne la
sécurité, tu peux sans problème trafiquer tes fichiers et recalculer les
checksums pour l'utilisation dans ta propre société...

NF525 n'apporte donc aucune sécurité dans ton cas.

Normalement, le gars qui a les clés du coffre n'est pas aussi le gars
susceptible d'essayer de voler son contenu...


Donc, sauf si NF525 parle spécifiquement de ce cas, je me demande
jusqu'à quel point ca vaut la peine de l'implémenter, du coup.


Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 11/29/2016 à 5:17 AM, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

je me lance moi aussi dans la certification de mon logiciel
d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des
clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y
a des différences avec un éditeur qui vends son outil d'encaissement,
connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé
(avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en
RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la
NF525).
Je me retrouve avec des chaines signés d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données serait
multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic
Curve) ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à
une journée de formation.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Publicado el 29,noviembre 2016 - 13:56
Merci pour ta réponse.

En effet, c'est la question que je me posais, mais je ne peux pas me permettre de m'auto-certifier.
Aujourd'hui mon soft ne répond absolument pas à ces règles.

Je découvre le principe de signature numérique, ainsi que toutes les règles à mettre en place.
Donc je veux être en accord avec la loi et ne pas risquer une amende lors d'une visite dans un de nos magasins parce que j'aurais oublié une notion importante...
//hostimage.webdev.info/avatars/default.gif
Publicado el 30,noviembre 2016 - 16:59
En effet, Fabrice a raison.
Autrement dit, on tourne en rond, le serpent se mord la queue.

De nombreuses sociétés, les franchises en autres, sont sur des logiciels maison.

De toute façon cette norme est une aberration totale.
Comme d'habitude, pondue par des théoriciens peu rompus au contraintes du développement logiciel.

Quand à faire payer le concepteur d'une application pour qu'il est accès aux règles, alors là !
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Miembro registrado
813 mensajes
Publicado el 01,diciembre 2016 - 07:52
C'est le grand principe de ceux qui pondent des normes, ils ne sont déjà pas forcément du privé, c'est voté par un petit groupe qui prend des décisions en se disant que ce sera mieux pour le peuple.

Ensuite ben faut se rembourser de toutes ces heures que l'on a passé au restau à discuter de ça alors on fait payer. Et si tu ne payes pas ben tu n'as plus le droit de travailler.

Quel beau système...:D

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
//hostimage.webdev.info/avatars/default.gif
Publicado el 01,diciembre 2016 - 08:15
Merci pour vos réponses.

Mais si nous décidons de ne pas l'implémenter, et que nous avons un contrôle, nous devrons nous mettre en règle (c'est à dire conforme à la NF525) dans les 60 jours, ce qui est impossible étant donné les nombreuses règles complexes pour un développeur seul comme moi... Je ne suis même pas sûr d'être capable de le faire en 1 an.
Que feriez-vous à ma place ?
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Miembro registrado
813 mensajes
Publicado el 01,diciembre 2016 - 10:10
Tu n'as aucune autre possibilité que de la faire ou alors attendre un contrôle au choix...

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
//hostimage.webdev.info/avatars/default.gif
Publicado el 01,diciembre 2016 - 11:33
Ou bien abandonner ce programme, et en prendre un qui est certifié chez un éditeur...
Ce qui serait peut être la décision la plus sage pour l'avenir...
Je me laisse jusqu'à la fin de l'année pour me décider.
Merci.
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Miembro registrado
159 mensajes
Publicado el 01,diciembre 2016 - 12:03
@Michael , tu peux aussi voir avec la DGFIP , ce qu'il en pense
//hostimage.webdev.info/avatars/default.gif
Publicado el 01,diciembre 2016 - 12:13
ou alors...

Plusieurs développeurs se mettent d'accord pour développer ensemble un
module séparé qui lui sera certifié...

ce serait :
- une boite noire
- un exe séparé (ou un assemblage .net, fait en windev)
- qui ne ferait QUE fournir les fonctions d'écriture et de lecture dans
un fichier facture/caisse
- et qui contiendrait tout le bordel de sécurité
- de windev, on ne ferait que ajouter des factures, ou lire des
factures, avec des fonctions très précises...

De cette manière, chacun pourrait faire sa sauce au niveau saisie, avec
toutes les options nécessaires au métier, et quand ca se réduit à
enregistrer des lignes d'article, hop, on transfère au module certifié

Bonne idée ? Mauvaise idée ?

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 12/1/2016 à 5:33 AM, "ÿÿÿÿÿÿÿ" a écrit :
Ou bien abandonner ce programme, et en prendre un qui est certifié chez
un éditeur...
Ce qui serait peut être la décision la plus sage pour l'avenir...
Je me laisse jusqu'à la fin de l'année pour me décider.
Merci.
//hostimage.webdev.info/avatars/default.gif
Publicado el 01,diciembre 2016 - 14:03
Le 01/12/2016 à 06:52, Philippe SB a écrit :
C'est le grand principe de ceux qui pondent des normes, ils ne sont déjà
pas forcément du privé, c'est voté par un petit groupe qui prend des
décisions en se disant que ce sera mieux pour le peuple.

Ensuite ben faut se rembourser de toutes ces heures que l'on a passé au
restau à discuter de ça alors on fait payer. Et si tu ne payes pas ben
tu n'as plus le droit de travailler.
Quel beau système...:D

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


Pas trop d'accord, j'ai pu participer à l'élaboration de la NF et on est
pas des "gros" ni des énarques. Par contre, sur la centaine (ou plus)
d'éditeur de logiciels, on devait être en effet 4 ou 5 boites de dév
présente. Si on y est allé c'est justement pour pas qu'on nous impose
n'importe quoi et les discussions ont effectivement été rudes.

L'objectif n'a jamais été d'emmerder le monde mais de faire en sorte que
la NF nous "protège" en garantissant qu'on avait fait le nécessaire pour
que notre soft ne soit pas détourné de son usage.

Mais bon ... à l'époque, lorsqu'on évoquait l'idée d'une norme, on se
foutait de notre gueule ... rira bien comme disait l'autre.

Reste l'attestation pour ceux qui sont sur d'eux.

Fred.
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Miembro registrado
813 mensajes
Publicado el 01,diciembre 2016 - 15:08
Reste que le coût n'a pas lieu d'être. Je ne vois pas pourquoi on nous obligerait à payer pour respecter une norme qu'on nous oblige à respecter. Dans tout ça ce sont toujours les plus petits qui trinquent.

Perso je ne développe pas (enfin plus) de logiciel de gestion donc ça ne me touche pas pour le moment, mais je reste solidaire de mes compagnons et je dis que si c'est une obligation alors libérons la norme dans le domaine public alors tout le monde aura le droit d'y accéder et de travailler dessus et ceux qui ne se sentent pas les épaules de mettre à jour leur logiciel pourront dans ce cas choisir un autre chemin.

Imagine que demain tu veuilles intégrer un module de prélèvement SEPA et que l'on te dise: "D'accord mais avant toute chose c'est 2 000 €". Eh bien tu réfléchirais à 2 fois avant de te lancer dans un module dont tu ne sais pas si tu iras jusqu'au bout car peut-être trop pénalisant en temps par rapport au bénéfice que tu en retirerais...

Je ne pense pas que cette norme soit une aberration mais que la manière de la faire appliquer est complètement inéquitable. Pour une entreprise comme Sage, le coût ne représentera pas la même chose que pour une petite boîte ou un auto-entrepreneur qui peine déjà à sortir la tête de l'eau vu le poids des charges qui pèsent sur lui.

Voilà réellement mon point de vue là-dessus.

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
Mensaje modificado, 01,diciembre 2016 - 15:11
//hostimage.webdev.info/avatars/default.gif
Publicado el 02,diciembre 2016 - 10:43
Le 01/12/2016 à 14:08, Philippe SB a écrit :
Reste que le coût n'a pas lieu d'être. Je ne vois pas pourquoi on nous
obligerait à payer pour respecter une norme qu'on nous oblige à
respecter. Dans tout ça ce sont toujours les plus petits qui trinquent.

Perso je ne développe pas (enfin plus) de logiciel de gestion donc ça ne
me touche pas pour le moment, mais je reste solidaire de mes compagnons
et je dis que si c'est une obligation alors libérons la norme dans le
domaine public alors tout le monde aura le droit d'y accéder et de
travailler dessus et ceux qui ne se sentent pas les épaules de mettre à
jour leur logiciel pourront dans ce cas choisir un autre chemin.

Imagine que demain tu veuilles intégrer un module de prélèvement SEPA et
que l'on te dise: "D'accord mais avant toute chose c'est 2 000 €". Eh
bien tu réfléchirais à 2 fois avant de te lancer dans un module dont tu
ne sais pas si tu iras jusqu'au bout car peut-être trop pénalisant en
temps par rapport au bénéfice que tu en retirerais...

Je ne pense pas que cette norme soit une aberration mais que la manière
de la faire appliquer est complètement inéquitable. Pour une entreprise
comme Sage, le coût ne représentera pas la même chose que pour une
petite boîte ou un auto-entrepreneur qui peine déjà à sortir la tête de
l'eau vu le poids des charges qui pèsent sur lui.

Voilà réellement mon point de vue là-dessus.

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


C'est pourquoi la certification n'est pas obligatoire et que tu as le
choix de l'attestation.

Pour la connexion avec les balances c'est même pire, les protocoles sont
libres, par contre pour pouvoir connecter la balance à ton soft tu dois
le faire certifier auprès du LNE (ou autre organisme de certification)
et tu claque plusieurs milliers d'euro. Et à chaque modification de la
partie certifié tu dois recommencer.

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 12,diciembre 2016 - 09:54
Bonjour,

merci à tous pour vos différents points vues très intéressant.
Nous allons donc nous lancer dans cette certification...

Pour parler un peu plus technique, quelqu'un pourrait m'éclairer sur l'autre partie de ma question initiale :

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525) et je me retrouve avec des chaines signés d'environ 3700 caractères !

Ce checksum doit donc être appliqué aux entêtes de ticket, aux lignes de ticket ainsi qu'aux lignes de paiement (je n'oublie rien ?).
Cela me parait énorme : la taille de ma base de données serait multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?
Mais pour ce dernier j'ai passé plusieurs heures à essayer de générer un certificat mais ça ne fonctionne pas.

Merci pour votre aide.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Publicado el 13,diciembre 2016 - 17:11
Le 12/12/2016 à 08:54, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

merci à tous pour vos différents points vues très intéressant.
Nous allons donc nous lancer dans cette certification...

Pour parler un peu plus technique, quelqu'un pourrait m'éclairer sur
l'autre partie de ma question initiale :

Concernant la signature numérique, est-ce qu'un certificat auto-signé
(avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en
RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la
NF525) et je me retrouve avec des chaines signés d'environ 3700
caractères !

Ce checksum doit donc être appliqué aux entêtes de ticket, aux lignes de
ticket ainsi qu'aux lignes de paiement (je n'oublie rien ?).
Cela me parait énorme : la taille de ma base de données serait
multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic
Curve) ? Mais pour ce dernier j'ai passé plusieurs heures à essayer de
générer un certificat mais ça ne fonctionne pas.

Merci pour votre aide.

Michaël.



Salut,

Nous on est parti sur un duo clé publique / clé privé généré en interne,
par contre notre signature ne fait pas 3700 caractères mais moins de 60.

Tu es sur que tu n'as pas fait un cryptage au lieu d'une signature ?

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 14,diciembre 2016 - 08:52
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048 bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans Windev pour signer mes lignes.

J'ai mal compris ?
//hostimage.webdev.info/avatars/default.gif
Publicado el 14,diciembre 2016 - 16:52
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?


Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le
cryptage indique que tu dois pouvoir décrypter et retrouver les données
d'origine, ce qui n'est pas le cas d'une signature (qui correspond à un
checksum)

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 14,diciembre 2016 - 19:20
ou plutot à un Hash

Le 12/14/2016 à 10:52 AM, Fredo a écrit :
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?

Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le
cryptage indique que tu dois pouvoir décrypter et retrouver les données
d'origine, ce qui n'est pas le cas d'une signature (qui correspond à un
checksum)

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 15,diciembre 2016 - 09:53
Bonjour,

J'ai également le même problème, le cryptage de ma chaine est limité à
environ 200 caractères avec le RSA, et ma chaine cryptée me renvoie une
chaine de 1050 caractères. Et comme on doit chainer les enregistrements
avec la précédente chaine cryptée, j'ai un big problème.
Comment peut on faire ?

Merci



Fredo vient de nous annoncer :
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?

Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le cryptage
indique que tu dois pouvoir décrypter et retrouver les données d'origine, ce
qui n'est pas le cas d'une signature (qui correspond à un checksum)

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 15,diciembre 2016 - 11:17
J'ai du mal à comprendre...

Selon la NF525 :
"Le système doit proposer l'apposition d'une signature électronique asymétrique conforme aux recommandations administratives pour les fichiers (au 1er janvier 2014, RSA 2048 bits ou Elliptic Curve (ECDSA) 224 bits au minimum"

Je comprends donc qu'il faut signer ET CRYPTER avec l'un des deux algorithmes.
Non ?

D'ailleurs, je ne pensais pas qu'on pouvait créer un certificat auto-signé, permettant de signer sans crypter ?
Quand on le fait sous OpenSSL, on choisit les commandes pour générer une clé RSA ("genrsa") ou bien une clé ECDSA ("ecparam"), mais c'est tout.

J'espère me faire comprendre.
Merci.
//hostimage.webdev.info/avatars/default.gif
Publicado el 26,diciembre 2016 - 14:12
Mickael, as tu trouvé réponse a ton interrogation, vis a vis d'un soft certifié chez un autre éditeur ?
//hostimage.webdev.info/avatars/default.gif
Publicado el 04,enero 2017 - 10:29
Bonjour,

non, nous n'avons pas cherché d'éditeur.
Nous nous lançons dans la certification de notre propre logiciel.
//hostimage.webdev.info/avatars/default.gif
Publicado el 04,enero 2017 - 18:07
Le 04/01/2017 à 09:29, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

non, nous n'avons pas cherché d'éditeur.
Nous nous lançons dans la certification de notre propre logiciel.


Si vous avez besoin, n'hésitez pas à poser vos questions ici, on est
plusieurs à être passé à la moulinette de la NF, ça peut aider.

Bon courage,

Fred.
//hostimage.webdev.info/avatars/xCr2jyjVFsBcr07zWmxLDA
Miembro registrado
11 mensajes
Publicado el 10,enero 2017 - 08:51
Bonjour à tous

Un de mes clients m'a demandé l'autre jour si mon logiciel était conforme NF525. Jusque là je ne connaissais pas cette certification, donc je me renseigne, et je tombe sur ce forum avec vos échanges très intéressants.
Je vois à peu près ce que je dois modifier dans mon soft pour me rapprocher des exigences de la NF525. je n'ai pas encore acheté les règles NF525, ça ne va pas tarder.
Juste une petit question si ça ne vous ennuie pas. Ça parle partout de "piste d'audit", mais je n'ai trouvé nulle part de description de ce que c'est que cette piste. Tel que le comprends (mais je suis peut-être complètement à côté) ça serait un espèce de log file avec signature pour pouvoir entre autres détecter des modifications "frauduleuses" des données dans la base.
Est-ce qu'il y a un format imposé ? Si oui, est-ce que je le trouverai en achetant les règles NF525?

Merci d'avance
//hostimage.webdev.info/avatars/default.gif
Publicado el 10,enero 2017 - 10:32
Le 10/01/2017 à 07:51, ANDRE THEVENIN a écrit :
Bonjour à tous

Un de mes clients m'a demandé l'autre jour si mon logiciel était
conforme NF525. Jusque là je ne connaissais pas cette certification,
donc je me renseigne, et je tombe sur ce forum avec vos échanges très
intéressants.
Je vois à peu près ce que je dois modifier dans mon soft pour me
rapprocher des exigences de la NF525. je n'ai pas encore acheté les
règles NF525, ça ne va pas tarder.
Juste une petit question si ça ne vous ennuie pas. Ça parle partout de
"piste d'audit", mais je n'ai trouvé nulle part de description de ce que
c'est que cette piste. Tel que le comprends (mais je suis peut-être
complètement à côté) ça serait un espèce de log file avec signature pour
pouvoir entre autres détecter des modifications "frauduleuses" des
données dans la base.
Est-ce qu'il y a un format imposé ? Si oui, est-ce que je le trouverai
en achetant les règles NF525?

Merci d'avance


Bonjour,

Pour la piste d'audit, c'est un journal qui doit tracé certains
évènements spécifiques avec une codification imposée (me rappelle plus
le détail des codes) de mémoire, tout ce que tu veux tracer en plus de
ce qui est imposé, tu peux le faire en utilisant le code "fonction éditeur".

Globalement c'est une date, un code, un texte descriptif et une
signature lié avec la ligne précédente. Les rubriques sont effectivement
imposée (à minima) et le format est décrit dans la 525.

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 10,enero 2017 - 10:49
Bonjour Fred,

je suis toujours bloqué sur la signature numérique.

J'arrive à générer mes certificats en RSA 2048 en utilisant cette méthode :
http://gghe-informatique.blogspot.fr/2012/01/creer-un-certificat-numerique-ssl-auto.html
Je charge mon certificat à l'aide des commandes de Windev, et je signe mes données.
Le soucis vient de la taille de la clé privé (environ 1600 caractères) et donc de la signature.

J'essaye donc de faire la même chose en ECDSA 256 avec la même méthode.
J'adapte simplement les commandes de type "genrsa" avec des commandes de type "ecparam".
Au niveau taille de la clé privée, c'est beaucoup plus correct (environ 166 caractères).
Je charge mon certificat dans Windev, sauf que là, Windev m'indique que ce certificat ne peux pas signer des données. (propriété "..ValidePourSignature" à FAUX).
J'ai donc contacter le support qui va voir avec l'équipe développement.

Je suis preneur de tout idée...

Michaël.
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Miembro registrado
813 mensajes
Publicado el 10,enero 2017 - 11:12
J'ai du mal à comprendre, on n'est pas censé faire une empreinte des lignes et les stocker en base 64 ?

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
//hostimage.webdev.info/avatars/default.gif
Publicado el 10,enero 2017 - 14:47
Le 10/01/2017 à 10:12, Philippe SB a écrit :
J'ai du mal à comprendre, on n'est pas censé faire une empreinte des
lignes et les stocker en base 64 ?

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


Les deux mon capitaine. Les lignes de ventes doivent être signées entre
elles ET on doit gérer une piste d'audit qui reprends des évènements du
style "démarrage du logiciel", "activation/désactivation" du mon
training (s'il existe) etc ...

Fred
//hostimage.webdev.info/avatars/default.gif
Publicado el 10,enero 2017 - 17:20
Le 10/01/2017 à 09:49, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour Fred,

je suis toujours bloqué sur la signature numérique.

J'arrive à générer mes certificats en RSA 2048 en utilisant cette méthode :
http://gghe-informatique.blogspot.fr/2012/01/creer-un-certificat-numerique-ssl-auto.html

Je charge mon certificat à l'aide des commandes de Windev, et je signe
mes données.
Le soucis vient de la taille de la clé privé (environ 1600 caractères)
et donc de la signature.

J'essaye donc de faire la même chose en ECDSA 256 avec la même méthode.
J'adapte simplement les commandes de type "genrsa" avec des commandes de
type "ecparam".
Au niveau taille de la clé privée, c'est beaucoup plus correct (environ
166 caractères).
Je charge mon certificat dans Windev, sauf que là, Windev m'indique que
ce certificat ne peux pas signer des données. (propriété
"..ValidePourSignature" à FAUX).
J'ai donc contacter le support qui va voir avec l'équipe développement.

Je suis preneur de tout idée...

Michaël.


Salut,

Nous on est passé par une dll "maison" en C sans passer par un
certificat, donc la je sèche.

Par contre, la taille de la clé ... au pire on s'en fout, tu ne la
stocke pas dans tes fichiers, c'est uniquement la signature de tes
données que tu stocke (environ 60 caractères de mémoire)

Désolé de ne pas pouvoir t'aider plus sur le coup,

Fred.
//hostimage.webdev.info/avatars/default.gif
Publicado el 11,enero 2017 - 10:35
Ok donc tu as créé une clé privée et une clé publique avec OpenSSL j'imagine ?
Si oui tu as du utiliser RSA ou ECDSA ?
Si non, comment générer ces clés ?

De mon côté, je ne saurais pas développer un algo pour signer mes données avec la clé privée (encore moins en C).
C'est pour ça que je comptais sur les fonctions "CertificatSigneChaine()" de Windev.
J'attends toujours leurs réponse.