Vous avez raison sur le plan théorique - un admin avec accès BDD et à la clé privée Ed25519 pourrait forger une signature. C'est d'ailleurs vrai de tout système, y compris les tiers de confiance qui ont leurs propres admins.
Le terme "preuve" ici désigne une preuve vérifiable cryptographiquement dans le contexte d'un litige collaborateur/employeur, pas une preuve contre l'organisation elle-même. Pour ce cas d'usage (le plus fréquent), la signature Ed25519 avec horodatage est juridiquement solide.
Pour les cas nécessitant une preuve opposable à l'organisation, l'ancrage blockchain ou l'horodatage RFC 3161 sont effectivement des options
[^] # Re: Preuve?
Posté par Benjy33 . En réponse à la dépêche Ackify CE : preuve de lecture cryptographique en Go + Vue3. Évalué à 4 (+4/-0).
Vous avez raison sur le plan théorique - un admin avec accès BDD et à la clé privée Ed25519 pourrait forger une signature. C'est d'ailleurs vrai de tout système, y compris les tiers de confiance qui ont leurs propres admins.
Le terme "preuve" ici désigne une preuve vérifiable cryptographiquement dans le contexte d'un litige collaborateur/employeur, pas une preuve contre l'organisation elle-même. Pour ce cas d'usage (le plus fréquent), la signature Ed25519 avec horodatage est juridiquement solide.
Pour les cas nécessitant une preuve opposable à l'organisation, l'ancrage blockchain ou l'horodatage RFC 3161 sont effectivement des options
[^] # Re: iso27001
Posté par Benjy33 . En réponse à la dépêche Ackify CE : preuve de lecture cryptographique en Go + Vue3. Évalué à 3 (+3/-0).
J'ai fais un article a ce sujet
https://www.ackify.eu/fr/blog/audit-sensibilisation-iso-27001
[^] # Re: iso27001
Posté par Benjy33 . En réponse à la dépêche Ackify CE : preuve de lecture cryptographique en Go + Vue3. Évalué à 4 (+4/-0).
Bonjour
Oui c'est tout à fait dans cet optique que j'ai créer Ackify.
Je suis sur que cela conviendra à l'auditeur au vus de la signature cryptographique.
Bon courage pour votre audit 💪