Tous les articles

10 min de lecture

Divulgation confidentielle sans publier le fichier

Les records Label 309 scellés horodatent des pièces chiffrées sur Cardano et les remettent à des destinataires précis : la chronologie est publique, tandis que le texte en clair reste confidentiel.

Vous pouvez prouver qu'un fichier existait à un instant donné sans le rendre public.

C'est précisément ce que permet un record Label 309 scellé. L'expéditeur hache le texte en clair, chiffre le fichier et publie un record de preuve sur Cardano. Le texte chiffré est conservé à un emplacement adressé par le contenu et n'est mis à disposition que des détenteurs de clé capables de le déchiffrer. La blockchain publique prouve qu'un engagement précis existait dès un horodatage de bloc public ; le texte en clair, lui, ne reste lisible que pour le public choisi.

Cela répond aux besoins des métiers du droit, de la conformité, de la sécurité, du journalisme, des relations partenaires et des enquêtes internes — partout où la chronologie compte mais où le document ne doit pas être publié sur l'internet ouvert.

Que signifie ici la divulgation confidentielle ?

Elle consiste à partager des pièces avec un public précis plutôt qu'avec le monde entier.

Ce public peut être un avocat, un auditeur, un régulateur, un journaliste, une équipe d'enquête interne, le contact sécurité d'un client, un comité du conseil, un partenaire — ou une future version de vous-même.

L'objectif est de prouver que les pièces existaient à un instant donné sans placer le texte en clair sur une blockchain publique ni sur un site web public. La preuve d'existence scellée est conçue exactement pour cette configuration : une affirmation publique de date portant sur un fichier privé.

Qu'est-ce qui se retrouve réellement sur la chaîne publique ?

Le record de preuve devient public. Le texte en clair, non.

Le record sur la chaîne peut porter :

  • l'empreinte du texte en clair — c'est la preuve d'horodatage ;
  • l'horodatage de bloc de la transaction Cardano ;
  • une enveloppe de chiffrement contenant le matériel de clé enveloppé ;
  • une ou plusieurs URI de texte chiffré adressées par le contenu (ar:// ou ipfs://) ;
  • une signature facultative, si l'expéditeur choisit de signer ;
  • une racine de Merkle, si la divulgation couvre plusieurs fichiers à la fois.

Le record ne porte délibérément pas :

  • le fichier en clair ;
  • une liste de destinataires lisible ;
  • la clé privée d'un destinataire ;
  • votre graine d'identité ;
  • les pièces déchiffrées.

Une nuance mérite d'être énoncée clairement : les clés publiques des destinataires n'apparaissent jamais non plus sur la chaîne. Un destinataire n'est pas nommé dans le record — il découvre qu'un record lui est destiné uniquement en réussissant à le déchiffrer à l'essai. Un observateur apprend qu'un record est scellé, voit l'empreinte de son texte en clair et son horodatage de bloc, et peut compter les emplacements de clé enveloppés, mais ces emplacements sont mélangés dans un ordre aléatoire sécurisé avant la publication : même un ordre du type « destinataire principal en premier » ne trahit donc rien. Le décompte vous dit combien, jamais qui.

Le texte chiffré lui-même peut être téléchargé par quiconque possède l'URI. Sans clé correspondante, il reste illisible.

Comment un destinataire ouvre-t-il un record scellé ?

Le destinataire communique une adresse de réception à l'expéditeur, et l'expéditeur scelle le record à son intention.

Une adresse de réception n'est rien d'autre qu'une clé publique. L'expéditeur enveloppe à cette adresse la clé de chiffrement du fichier. Plus tard, le client du destinataire parcourt les records Label 309 publics et tente d'ouvrir les emplacements de clé chiffrés de chaque record avec ses propres clés de réception privées — entièrement en local, sur l'appareil du destinataire. Rien de ce qui indique quels records lui appartiennent ne quitte jamais la machine.

Lorsqu'un emplacement s'ouvre, le client récupère le texte chiffré, le déchiffre, recalcule l'empreinte du texte en clair et la compare à l'engagement inscrit sur la chaîne. Une correspondance confirme deux choses à la fois : le destinataire détient le vrai fichier, et ce fichier exact est bien celui engagé à l'horodatage de bloc enregistré.

Parce que le destinataire détient une clé privée, c'est ici que la vérification passe de « un engagement existait » à « ce contenu précis existait ». Pour la mécanique côté expéditeur — communiquer une adresse de réception et recevoir des records scellés — voyez comment recevoir des records scellés.

Pourquoi ne pas simplement envoyer le fichier chiffré par e-mail ?

L'e-mail peut transporter des fichiers, mais il ne constitue pas un horodatage durable et vérifiable de façon indépendante.

Un message peut être supprimé, modifié ou perdu. Les pièces jointes sont parfois retirées. Les serveurs de messagerie sont mis hors service. Les formats d'export sont brouillons et difficiles à authentifier des années plus tard. Rien de tout cela ne donne à un vérificateur le moyen de prouver quand le fichier existait.

Un record Label 309 scellé dote le fichier d'un ancrage de preuve public qui ne dépend ni de votre messagerie ni du serveur de quiconque. Le contenu chiffré peut être conservé séparément, et le destinataire pourra plus tard prouver que le contenu déchiffré correspond à une empreinte engagée sur une chaîne publique. Vous pouvez toujours prévenir le destinataire par e-mail — veillez simplement à ne pas faire dépendre la preuve de cet envoi.

Pourquoi ne pas simplement téléverser le fichier chiffré dans un stockage privé ?

Vous le pouvez, et c'est même souvent recommandé. Mais le stockage privé seul ne vous offre aucun ancrage temporel public.

Un compartiment de stockage d'entreprise, un outil de gestion de dossiers ou un portail sécurisé peuvent parfaitement conserver des fichiers chiffrés. Ce à quoi aucun d'eux ne répond par lui-même, c'est : un vérificateur ultérieur peut-il prouver quand ce paquet chiffré existait, et que le texte en clair déchiffré correspond à un engagement public ? Sans cela, « nous avions ce fichier en mars » est une affirmation, pas une preuve.

Label 309 ajoute l'engagement horodaté. Il ne remplace pas votre stockage sécurisé — il dote ce stockage d'une couche de preuve vérifiable par-dessus.

Quand le record de divulgation doit-il être signé ?

Signez-le lorsque la responsabilité compte plus que l'anonymat.

Signer un record est facultatif. Une signature permet à une clé d'identité précise de se porter garante de la divulgation — utile lorsqu'une entreprise transmet un dossier de pièces formel à un auditeur, ou lorsqu'une équipe juridique a besoin d'un record qui engage la responsabilité et reste attribuable. La signature est une affirmation de paternité adossée à une clé publique, et un vérificateur peut la contrôler sans faire confiance à aucun serveur.

Laissez le record non signé lorsque l'anonymat de l'expéditeur prime. Un record scellé non signé ne lie aucune identité d'expéditeur sur la chaîne, ce qui correspond exactement aux besoins des transmissions de lanceur d'alerte et des scénarios d'offres sous pli scellé. Cet arbitrage doit être un choix délibéré : une signature peut établir qui se tient derrière la divulgation, et dans des contextes sensibles cette même attribution peut en révéler plus que l'expéditeur ne le souhaite.

Un seul record peut-il atteindre plusieurs destinataires ?

Oui. Un même record scellé peut envelopper la clé de chiffrement du fichier dans des emplacements distincts pour plusieurs destinataires.

Chaque destinataire ouvre le record avec sa propre clé, et un destinataire ne peut pas se servir de son emplacement pour dériver la clé d'un autre destinataire. Cela couvre un cabinet d'avocats et son client, une équipe d'enquête interne, un auditeur et un contact dans l'entreprise, plusieurs régulateurs à la fois, un comité du conseil — ou un expéditeur qui conserve pour lui-même une copie récupérable tout en la partageant avec d'autres.

Le record public peut révéler le nombre d'emplacements, mais jamais une liste lisible de leurs détenteurs.

Et pour un dossier de pièces volumineux comportant de nombreux fichiers ?

Utilisez un manifeste et le regroupement Merkle plutôt qu'une transaction par fichier.

Hachez chaque fichier en une feuille, repliez les feuilles dans une seule racine de Merkle, et publiez cette unique racine dans le record Label 309. Scellez le manifeste et les fichiers associés selon les besoins. Plus tard, un destinataire ou un auditeur pourra vérifier n'importe quel fichier pris isolément à l'aide d'une preuve d'inclusion courte — entièrement hors ligne — au lieu de traiter l'ensemble du dossier comme une archive opaque. Les preuves d'inclusion ne croissent qu'avec le logarithme de la taille du lot : une divulgation de mille fichiers se vérifie donc encore élément par élément.

C'est le même schéma « une racine pour de nombreux fichiers » décrit dans un record pour des milliers de fichiers ; ici, il rend les grandes divulgations inspectables au lieu d'imposer une logique du tout ou rien.

Que prouve réellement un record scellé ?

Les affirmations sont fortes, mais elles sont précises. Un record Label 309 scellé peut montrer :

  • que ces données exactes existaient dès un horodatage de bloc public ;
  • que le texte chiffré déchiffré correspond à l'empreinte du texte en clair engagée ;
  • qu'une clé précise a signé le record, si le record est signé ;
  • qu'un fichier précis figurait dans un ensemble de pièces regroupé par Merkle ;
  • qu'un destinataire détenant la clé et le texte chiffré avait accès à des pièces déchiffrables.

Chacun de ces points est une affirmation précise et vérifiable de façon indépendante sur l'horodatage et l'intégrité.

Que ne prouve-t-il pas ?

Tout aussi important, voici ce qu'il **n'**établit pas :

  • Il ne prouve pas que les pièces sont véridiques. Une preuve certifie des octets et un horodatage, pas des faits.
  • Il ne prouve pas que l'expéditeur avait le droit légal de divulguer le fichier.
  • Il ne prouve pas l'identité réelle du destinataire, à moins que l'adresse de réception n'ait été vérifiée par un processus de confiance. Confirmer qui possède réellement une adresse est une étape distincte — voyez vérifier un destinataire avant de sceller un fichier.
  • Il n'apporte pas l'anonymat. Les schémas temporels, les métadonnées réseau, les traces du gateway et des paiements, les empreintes d'appareil et les erreurs opérationnelles peuvent tous révéler des informations qui vivent en dehors du record. Un destinataire peut aussi divulguer le texte en clair une fois qu'il l'a déchiffré.
  • Il ne remplace ni un conseil juridique ni des procédures de divulgation sûres, et la question de savoir si une preuve donnée aide dans un litige dépend de la juridiction.

Pour la version générale de cette frontière, voyez ce qu'une preuve ne prouve pas.

Comment une équipe devrait-elle mettre cela en place avant d'en avoir besoin ?

Définissez le processus de divulgation avant la crise, pas pendant. Décidez à l'avance :

  • qui peut créer des divulgations scellées ;
  • quelle identité, le cas échéant, signe les records formels ;
  • quelles adresses de réception sont de confiance, et comment elles ont été vérifiées ;
  • où le texte chiffré est stocké ;
  • qui est autorisé à déchiffrer ;
  • comment les manifestes sont structurés pour les dossiers multifichiers ;
  • comment les références de transaction sont consignées et transmises ;
  • comment les pièces sont exportées en vue d'une revue juridique.

La cryptographie n'est qu'une couche. C'est le processus qui l'entoure qui détermine si la preuve est réellement utile au moment où la pression survient. Pour une perspective sur la gestion des pièces, voyez preuve juridique et e-discovery et, pour les sources à plus haut risque, preuves d'un lanceur d'alerte.

En bref

La divulgation confidentielle exige deux choses à la fois : la confidentialité et la preuve.

Les records Label 309 scellés gardent le fichier chiffré pour les détenteurs de clé choisis, tout en publiant un engagement public et horodaté sur son empreinte. Les destinataires déchiffrent en local et confirment que le texte en clair correspond à l'empreinte inscrite sur la chaîne. Les signatures, les racines de Merkle et les emplacements multi-destinataires ajoutent des options de processus plus robustes lorsque vous en avez besoin.

Servez-vous-en pour prouver la chronologie sans jamais publier le fichier.

Pour aller plus loin

  • Label 309 — le standard ouvert et indépendant des fournisseurs de preuve d'existence qui sous-tend les records scellés. Label 309 est le label de métadonnées sur la chaîne ; la proposition est à l'étude dans le processus CIP de Cardano en tant que CIP de catégorie Metadata (PR ouverte).
  • CardanoWall open source — le corpus du standard, les SDK et l'outil en ligne de commande cardanowall, capable de construire, sceller et vérifier des records.
  • Ce qu'une preuve ne prouve pas — les limites de toute preuve d'existence.
  • Vérifier un destinataire avant de sceller un fichier — l'erreur humaine la plus courante dans les processus chiffrés.

sealed-poeconfidential-disclosureprivacy