Aller au contenu principal

Signatures Ed25519 : pourquoi Ackify utilise la cryptographie moderne pour vos preuves de lecture

Publié le 18 novembre 2025

Quand vous demandez à un employé de confirmer la lecture d'un document, cette preuve doit être infalsifiable. Pas question qu'un admin mal intentionné puisse créer de fausses confirmations, ou qu'un employé conteste avoir validé sa lecture.

C'est pourquoi Ackify utilise les signatures cryptographiques Ed25519 — le même algorithme utilisé par Signal, WireGuard et OpenSSH.

Qu'est-ce qu'Ed25519 ?

Ed25519 est un algorithme de signature numérique basé sur les courbes elliptiques (EdDSA). Conçu par Daniel J. Bernstein, il offre :

  • Sécurité élevée : 128 bits de sécurité, équivalent à RSA-3072
  • Performance : signatures et vérifications ultra-rapides
  • Clés compactes : 32 octets pour la clé publique, 64 pour la signature
  • Résistance aux attaques : pas de vulnérabilités connues depuis 2011

Comment Ackify utilise Ed25519

Lors de chaque confirmation de lecture, Ackify génère une signature cryptographique :

Payload = {
  doc_id: "charte-informatique-2025",
  user_sub: "oauth2|123456",
  user_email: "jean.dupont@entreprise.com",
  signed_at_utc: "2025-11-18T14:32:00Z",
  nonce: "a1b2c3d4e5f6..."
}

Hash = SHA-256(Payload)
Signature = Ed25519_Sign(PrivateKey, Hash)

Cette signature est stockée en base de données avec le payload. Elle garantit :

  1. Intégrité : toute modification du payload invalide la signature
  2. Non-répudiation : seul le serveur Ackify peut générer cette signature
  3. Authenticité : la clé publique permet de vérifier la signature

Pourquoi pas RSA ou ECDSA ?

Ed25519 surpasse les alternatives sur plusieurs critères :

Critère RSA-2048 ECDSA P-256 Ed25519
Taille signature 256 bytes 64 bytes 64 bytes
Vitesse signature Lent Moyen Très rapide
Sécurité 112 bits 128 bits 128 bits
Vulnérabilités connues Padding attacks Nonce reuse Aucune

Ed25519 est également déterministe : la même entrée produit toujours la même signature, éliminant les risques liés aux générateurs aléatoires défaillants.

Le rôle du nonce anti-replay

Chaque signature inclut un nonce (number used once) — une valeur aléatoire unique. Cela empêche les attaques par rejeu : impossible de réutiliser une ancienne signature pour simuler une nouvelle confirmation.

Vérification des signatures

À tout moment, vous pouvez vérifier l'authenticité d'une confirmation :

# Export de la clé publique
curl https://votre-instance.com/api/public-key

# Vérification d'une signature
curl https://votre-instance.com/api/verify?doc=charte-2025&user=jean.dupont@entreprise.com

Si le payload a été modifié (date, utilisateur, document), la vérification échoue. Preuve d'intégrité garantie.

Implications pour l'audit

Lors d'un audit ISO 27001 ou RGPD, cette architecture apporte :

  • Preuves cryptographiques : pas de simple entrée en base modifiable
  • Vérifiabilité : l'auditeur peut vérifier chaque signature
  • Immutabilité : le trigger PostgreSQL protège les timestamps
  • Traçabilité : hash SHA-256 du document original

Sécurité de la clé privée

La clé privée Ed25519 est le secret le plus sensible d'Ackify. Recommandations :

  • Stockez-la dans une variable d'environnement ou un secret manager
  • Ne la commitez jamais dans Git
  • Faites une sauvegarde sécurisée (perte = invalidation de toutes les signatures)
  • Rotation possible avec conservation de l'historique des clés

Conclusion

La cryptographie n'est pas un gadget — c'est la fondation d'une preuve de lecture fiable. Ed25519 offre le meilleur compromis entre sécurité, performance et simplicité.

Ackify intègre nativement ces garanties cryptographiques, sans configuration complexe. Vos preuves de lecture sont infalsifiables by design.

➡️ Découvrez Ackify — la preuve de lecture avec intégrité cryptographique.

Prêt à sécuriser vos preuves de prise de connaissance ?

Créez votre compte en 30 secondes et commencez à tracer la lecture de vos documents critiques.