PKI : Infrastructura de clavă publică explicată

Introducere : de ce PKI-ul se află în centrul încrederii digitale

Într-o lume în care milioane de contracte sunt semnate zilnic online, se pune o întrebare fundamentală : cum să fii sigur că persoana care semnează este cu adevărat cea pe care o pretinde, și că documentul nu a fost modificat după semnare ? Răspunsul ține în trei litere : PKI (Public Key Infrastructure, sau infrastructura de clavă publică în română). Acest dispozitiv criptografic constituie fundația tehnică a oricărei semnături electronice calificată în conformitate cu regulamentul eIDAS. În acest articol, explicăm în detaliu modul de funcționare al PKI-ului, componentele sale esențiale — inclusiv certificatele X.509 — și modul în care garantează autenticitatea, integritatea și nerepudierea actelor dumneavoastră juridice digitale.

---

Ce este PKI-ul ? Definiție și principii fundamentale

PKI-ul (Public Key Infrastructure) desemnează un ansamblu de politici, proceduri, echipamente, software și persoane necesare pentru a crea, gestiona, distribui, utiliza, stoca și revoca certificatele digitale. Se bazează pe criptografia asimetrică, adică utilizarea unei perechi de chei matematice legate : o cheie privată (secretă) și o cheie publică (care poate fi partajată liber).

Principiul perechii de chei asimetrice

Atunci când un semnatarios aplică semnatura electronică pe un document, utilizează cheia sa privată pentru a genera o amprentă criptografică unică a fișierului (un hash). Această amprentă, criptată cu cheia privată, constituie semnatura digitală. Orice terță parte poate verifica apoi autenticitatea acestei semnături utilizând cheia publică corespunzătoare a semnatarului. Dacă verificarea reușește, două garanții sunt stabilite :

• Autenticitatea : doar deținătorul cheii private a putut produce această semnătură.
• Integritatea : documentul nu a fost modificat de la semnare.

Algoritmul RSA (Rivest-Shamir-Adleman) rămâne cel mai răspândit, cu chei de 2 048 sau 4 096 de biți. Algoritmii bazați pe curbe eliptice (ECDSA) câștigă teren datorită performanței lor la nivel de securitate echivalent.

Problema încrederii și răspunsul PKI-ului

Criptografia asimetrică rezolvă problema integritații, dar ridică imediat o altă întrebare : cum să știi că cheia publică aparține cu adevărat persoanei pe care o pretinde să reprezinte ? Acesta este exact locul în care intervine PKI-ul. Introduce un terț de încredere — Autoritatea de Certificare (AC) — care verifică identitatea deținătorului cheii publice și emite un certificat digital garantând această asociere.

---

Componentele esențiale ale unei PKI

O infrastructură de clavă publică operațională se articulează în jurul mai multor componente interdependente. Înțelegerea rolului lor respectiv este indispensabilă pentru a evalua robustețea unei soluții de semnătură electronică.

Autoritatea de Certificare (AC sau CA)

Autoritatea de Certificare este entitatea centrală a PKI-ului. Semnează digital certificatele pe care le emite, legând astfel o identitate verificată de o cheie publică. În Europa, AC-urile calificate figurează pe listele de încredere naționale (Trusted Lists), publicate în conformitate cu articolul 22 al regulamentului eIDAS. În Franța, ANSSI-ul ține această listă. Furnizori precum CertEurope, Certinomis sau Certigna figurează pe aceasta.

Ierarhia de certificare formează o lanț de încredere : o AC rădăcină (Root CA) semnează AC-uri intermediare, care la rândul lor semnează certificatele utilizatorilor finali. Această arhitectură permite limitarea expunerii cheii rădăcină (stocată offline într-un HSM) și gestionarea revocărilor în mod granular.

Autoritatea de Înregistrare (AE sau RA)

Autoritatea de Înregistrare este responsabilă cu verificarea identității solicitanților înainte ca AC-ul să emită un certificat. Această verificare poate fi :

• Face to face (necesară pentru certificatele calificate conform eIDAS).
• La distanță prin identificare video în conformitate cu normele ETSI EN 319 401.
• Printr-un proces eKYC (Know Your Customer electronic) pentru nivelurile de încredere intermediare.

Certificatele digitale X.509

Formatul X.509 este standardul internațional care definește structura certificatelor digitale într-o PKI. Definit de ITU-T și adoptat de IETF prin RFC 5280, un certificat X.509 conține în special :

• Identitatea deținătorului (nume, organizație, e-mail).
• Cheia publică a deținătorului.
• Identitatea și semnatura AC-ului emitent.
• Perioada de valabilitate a certificatului.
• Numărul de serie unic.
• Extensiile : utilizări autorizate (semnare cod, autentificare, semnare document), puncte de distribuție CRL, URL OCSP.

În contextul semnăturii electronice calificate eIDAS, certificatele X.509 calificate trebuie emise pe un dispozitiv calificat de creare a semnăturii (QSCD), de obicei o carte inteligentă sau un HSM (Hardware Security Module).

Mecanismul de revocare : CRL și OCSP

Un certificat poate deveni nevalid înainte de expirare : pierderea cheii private, compromitere, schimbare de statut a deținătorului. Două mecanisme permit verificarea validității în timp real :

• CRL (Certificate Revocation List) : listă publicată periodic de AC care enumeră certificatele revocate.
• OCSP (Online Certificate Status Protocol, RFC 6960) : protocol care permite verificarea instantanee a statutului unui certificat. Preferat în mediile cu frecvență înaltă de tranzacții.

Soluțiile de semnătură electronică serioase, cum sunt cele descrise în comparativul soluțiilor de semnătură electronică, integrează sistematic aceste verificări în fluxul lor de semnare.

---

Cum PKI-ul securizează concret semnatura electronică

Înțelegerea parcursului tehnic al unei semnături electronice sprijinite de o PKI permite măsurarea nivelului de garanție oferit.

Procesul de semnare pas cu pas

1. Hașurarea documentului : un algoritm de hașurare (SHA-256 sau SHA-3 conform recomandărilor ANSSI 2026) produce o amprentă digitală unică a documentului.
2. Criptarea amprentei : semnatarul criptează această amprentă cu cheia sa privată (stocată în QSCD-ul său). Această operație nu iese niciodată din dispozitivul securizat.
3. Crearea pachetului de semnătură : semnatura criptată este asociată documentului, însoțită de certificatul X.509 al semnatarului și o marcă temporală calificată.
4. Verificare pe partea destinatarului : destinatarul (sau soluția sa software) decriptează amprentă cu cheia publică a semnatarului, recalculează hash-ul documentului primit și compară. Dacă cele două amprente sunt identice, semnatura este valabilă.

Cele trei niveluri de semnătură eIDAS și relația lor cu PKI-ul

Regulamentul eIDAS distinge trei niveluri de semnătură electronică, fiecare implicând un recurs mai mult sau mai puțin profund la PKI :

• Semnătură electronică simplă (SES) : nu neapărat sprijinită pe o PKI. Valoare probatorie limitată.
• Semnătură electronică avansată (AdES) : se bazează obligatoriu pe o pereche de chei și un certificat legat de semnatarios. Formate tehnice standardizate de ETSI : XAdES, PAdES, CAdES.
• Semnătură electronică calificată (QES) : nivel cel mai înalt, echivalent legal al semnăturii manuscrise în toată UE. Necesită un certificat calificat emis de o AC de încredere înscrisă pe Trusted List și un QSCD. Acesta este deplinul desfășurare al PKI calificat.

Pentru întreprinderile care doresc să desfășoare semnătura calificată la scară largă, ghidul nostru pe semnătura electronică în întreprindere detaliază etapele implementării operaționale.

Marca temporală calificată : dimensiunea temporală a PKI-ului

PKI-ul nu se limitează la identitate : garantează și dimensiunea temporală a actelor prin marca temporală calificată (RFC 3161). Un serviciu de marcare temporală de încredere (TSA) emite un jeton criptografic certificând că un document exista sub forma sa actuală la un moment precis. Aceasta este crucial pentru conservarea pe termen lung a dovezilor și respectarea obligațiilor legale de conservare documentară (art. L.110-4 Cod de comerț : 5 ani pentru actele comerciale ; art. 2224 Cod civil : 5 ani pentru obligațiile contractuale din dreptul comun).

---

PKI și încredere pe termen lung : enjeu-ul conservării dovezilor

O semnătură valabilă astazi poate deveni neverificabilă peste 10 ani dacă algoritmii criptografici utilizați au devenit depășiți sau dacă certificatele au expirat. PKI-ul ia în considerare această problemă prin formate de semnătură cu valoare probatorie pe termen lung.

Formatele AdES cu durată lungă de viață

ETSI a definit profiluri de semnătură extinse — XAdES-LTA, PAdES-LTA, CAdES-LTA — care încapsulează în fișierul semnat toate dovezile necesare pentru verificare viitoare : lanțuri complete de certificatate, răspunsuri OCSP arhivate, mărci temporale multiple. Aceste formate sunt conforme cu norma ETSI EN 319 132 (XAdES) și ETSI EN 319 122 (CAdES).

Migrația criptografică în fața calculului cuantic

Apariția calculului cuantic reprezintă o amenințare pe termen mediu pentru algoritmii RSA și ECDSA actuali. NIST-ul american a finalizat în 2024 primele sale standarde de criptografie post-cuantică (CRYSTALS-Dilithium pentru semnături). ANSSI-ul și ENISA lucrează la foile de parcurs de migrație care ar trebui să se concretizeze în reviziile normei eIDAS la orizont 2028-2030. Întreprinderile care se bazează pe o PKI bine gestionată vor fi mai bine poziții pentru această tranziție, deoarece actualizarea autorităților de certificare este mai ușoară decât refacerea sistemelor criptografice ad hoc.

Pentru cei care evaluează soluția lor actuală, calculatorul ROI semnătură electronică de Certyneo permite obiectivizarea câștigurilor legate de o infrastructură PKI industrializată.

Cadrul legal aplicabil PKI-ului și semnăturii electronice

Infrastructura de clavă publică nu este doar un dispozitiv tehnic : se înscrie într-un cadru juridic european și național dens, a cărui cunoaștere este indispensabilă pentru orice organizație care dorește să se bazeze pe semnătura electronică în actele sale juridice.

Regulamentul eIDAS nr. 910/2014 și evoluția sa

Adoptat la 23 iulie 2014 și aplicabil din 1 iulie 2016, regulamentul (UE) nr. 910/2014 (eIDAS) constituie textul fondator al încrederii digitale în Europa. Definește cerințele applicable furnizorilor de servicii de încredere calificate (PSCQ), certificatelor calificate și dispozitivelor QSCD. Articolul 26 stabilește condițiile semnăturii avansate ; articolul 28 definește certificatele calificate pentru semnătură electronică ; anexa I detaliază cerințele acestor certificatate — derivate direct din formatul X.509.

Regulamentul eIDAS 2.0 (regulamentul UE nr. 1183/2024, publicat în JOUE la 30 aprilie 2024) întărește acest cadru impunând în special statelor membre să recunoască Portofelul de identitate digitală european (EUDIW) și extinzând obligațiile de recunoaștere furnizorilor de servicii private în sectoare determinate.

Codul civil francez : valoare probatorie a semnăturii electronice

În dreptul francez, articolele 1366 și 1367 din Codul civil (rezultate din ordonanța nr. 2016-131 din 10 februarie 2016) conferă semnăturii electronice aceeași valoare ca semnăturii manuscrise, sub rezerva că satisface cerințele de identificare a semnatarului și integritate a documentului. Prezumția de fiabilitate se aplică atunci când semnatura este creată conform unui proces calificat în sensul eIDAS — adică bazat pe o PKI calificată.

Articolul 1368 prevede că modalitățile de stabilire a acestei fiabilități sunt fixate prin decret în Consilul de Stat, și anume decretul nr. 2017-1416 din 28 septembrie 2017 relativ la semnătura electronică.

Norme ETSI aplicabile PKI-ului

• ETSI EN 319 401 : cerințe generale pentru furnizorii de servicii de încredere.
• ETSI EN 319 411-1 și -2 : cerințe pentru AC-urile care emit certificatate calificate.
• ETSI EN 319 132 : specificații XAdES pentru semnăturile avansate XML.
• ETSI EN 319 122 : specificații CAdES.
• ETSI EN 319 162 : servicii de conservare și marcare temporală.

RGPD și date cu caracter personal în PKI

Certificatele X.509 conțin date cu caracter personal (nume, prenume, e-mail, uneori numărul de registru național). Tratamentul lor este supus regulamentului (UE) nr. 2016/679 (RGPD). AC-urile trebuie în special să definească o durată de conservare conformă, să informeze deținătorii și să garanteze exercitarea drepturilor acestora. Revocarea unui certificat la cererea deținătorului constituie o modalitate practică de exercitare a dreptului la ștergere (în limitele obligației de conservare a dovezilor).

Răspundere și riscuri juridice

O PKI prost gestionată expune întreprinderea la riscuri serioase : contestare a valorii probatorii a semnăturilor în cazul certificatelor expirate sau revocate, imposibilitatea verificării unei semnături pe termen lung în absența formatelor LTA, și potențială răspundere civilă în caz de compromitere a cheilor private. Articolul 13 al eIDAS precizează că răspunderea PSCQ-urilor calificate este angajată, cu excepția dovezii contrare, în caz de nerespectare a obligațiilor acestora.

Scenarii de utilizare : PKI în acțiune în întreprinderi

Scenariu 1 — Un cabinet de avocați de afaceri cu 25 de colaboratori

Un cabinet specializat în fuziuni și achiziții gestionează în medie 150 de operațiuni structurate pe an, fiecare necesitând semnarea a mai multor zeci de documente (protocoale, pacte de acționari, garanții de activ și pasiv). Anterior, termenele de colectare a semnăturilor fizice prelungeau închiderile cu 5 la 8 zile lucrătoare în medie.

Prin implementarea unei soluții de semnătură calificată sprijinită de o PKI calificată, cabinetul atribuie fiecărui asociat și colaborator autorizat un certificat X.509 calificat pe QSCD. Fiecare semnătură este automat verificată (OCSP), marcată cu timp și arhivată în format PAdES-LTA. Rezultat : termenul de închidere scade la mai puțin de 24 de ore pentru faza de semnare, și valoarea probatorie maximă este asigurată fără o procedură suplimentară. Cabinetele juridice de această dimensiune raportează în medie o reducere de 70 % a timpului administrativ legat de semnături, conform benchmark-urilor sectoriale (Federația națională a avocaților de afaceri, 2025).

Scenariu 2 — O PME industrială care gestionează 300 de contracte cu furnizori pe an

O întreprindere manufacturieră de dimensiune intermediară (aproximativ 250 de angajați) încheie contracte cadru, amendamente și comenzi de contract cu aproximativ o sută de furnizori europeni. Dispersia geografică și barierele lingvistice au facut gestionarea documentară deosebit de grea.

Prin integrarea unui flux de lucru de semnătură electronică avansată (AdES) printr-o API conectată la ERP-ul său, PKI-ul gestionează automat verificarea certificatelor semnatarilor din partea furnizorului (prin Trusted Lists eIDAS ale fiecărui stat membru), marcarea temporală și constituirea dosarelor de dovezi. Serviciul juridic constată o reducere de 60 % a relansărilor pentru colectare de semnături și o scădere a litigiilor contractuale legate de dezacorduri privind versiunea semnată a documentului. Costul per semnătură scade de la 12 € (imprimare, trimitere, arhivare fizică) la mai puțin de 1,50 € în flux numeric, conform fourchete publicate de Markess by Exaegis în panorama sa 2025 a gestionării documentare.

Scenariu 3 — Un grup spitalicesc public cu aproximativ 1 200 de paturi

În sectorul sănătății publice, actele administrative și piețele publice trebuie să răspundă cerințelor Codului achiziționării publice și recomandărilor ANSSI în materie de securitate a SI-urilor sensibile. Un grup spitalicesc care gestionează mai multe établissements trebuie să semneze sute de piețe, amendamente și contracte de muncă în fiecare an.

Adoptarea unei PKI interne (CA dedicat agenților, certificatate pe cărți CPS pentru personalul medical) cuplată cu o soluție SaaS de semnătură pentru acte administrative permite respectarea cerințelor directivei NIS2 (transpusă în dreptul francez prin legea nr. 2024-449 din 21 mai 2024) impunând măsuri de gestionare a riscului cibersecuritate. Trasabilitatea completă a semnăturilor, verificarea în timp real a certificatelor și conservarea LTA a documentelor semnate reduc riscul contestării actelor administrative și facilitează auditurile Camerei regionale a conturilor. Establecerile din sector constată în general o reducere de 40 la 50 % a volumului de hârtie tratat doar pentru RH, conform datelor ANAP (Agenție națională de sprijin în performanță, raport 2024).

Concluzie

PKI-ul — infrastructura de clavă publică — este mult mai mult decât un dispozitiv tehnic : este garantul criptografic și juridic al încrederii în schimburile dumneavoastră digitale. Componentele sale (AC, certificatate X.509, OCSP, marcă temporală calificată) formează un ecosistem coerent care asigură autenticitatea, integritatea și nerepudierea semnăturilor dumneavoastră electronice, în conformitate perfectă cu regulamentul eIDAS și Codul civil francez. Fie că sunteți o PME, un cabinet juridic sau un establiment public, cunoașterea fundamentelor PKI-ului vă permite alegerea soluției de semnătură adaptate enjeu-urilor dumneavoastră reale — și apărarea valorii sale probatorii în caz de litigiu.

Certyneo se bazează pe o PKI calificată conformă eIDAS pentru a furniza semnături electronice avansate și calificate către întreprinderi. Creați-vă contul gratuit sau descoperiți tarifele noastre pentru a vă începe transformarea documentară chiar astazi.