9 min de lecture
Preuve d'existence ou autorité d'horodatage : de quel modèle de confiance avez-vous besoin ?
Les deux lient des données à un instant donné, mais une autorité d'horodatage enracine la confiance dans la clé d'un fournisseur nommé, tandis qu'une preuve d'existence Label 309 l'enracine dans le consensus public de Cardano. Voici comment choisir.
Une autorité d'horodatage et une preuve d'existence répondent à la même question — ces données existaient-elles à cette date ? — mais elles ancrent la réponse à des endroits différents. Une autorité d'horodatage vous remet un jeton de temps signé par un fournisseur nommé et de confiance. Une preuve d'existence (PoE) Label 309 vous donne un record public sur Cardano, que chacun peut vérifier à partir de la blockchain et des octets d'origine, sans rien demander à l'éditeur ni à un quelconque service d'horodatage en particulier.
Toute la décision tient en une phrase : une autorité d'horodatage vous demande de faire confiance à une autorité précise et à sa chaîne de certificats ; Label 309 vous demande de faire confiance au consensus public de Cardano. Les deux approches sont légitimes. Le bon choix dépend de ce que votre flux de travail doit satisfaire. Certains processus réglementés exigent spécifiquement un horodatage qualifié. De nombreux flux de travail de produit, d'audit, d'ingénierie et de preuve publique sont mieux servis par une preuve ouverte que n'importe qui peut contrôler et qui ne dépend de la survie d'aucun service.
Qu'est-ce qu'une autorité d'horodatage ?
Une autorité d'horodatage (TSA, pour Timestamp Authority) est un service de confiance qui émet des jetons d'horodatage signés.
Le standard technique courant est la RFC 3161, le protocole d'horodatage. Le demandeur envoie une empreinte des données à la TSA. La TSA renvoie un jeton contenant l'empreinte du message, une heure, un numéro de série, des informations de politique et d'autres champs, le tout signé avec la clé privée de la TSA. Pour vérifier, vous contrôlez cette signature ainsi que la chaîne de certificats de la TSA.
La TSA ne voit jamais le document — elle ne voit que le condensé. Mais la confiance repose entièrement sur l'autorité : sa clé de signature, sa source de temps, sa politique d'exploitation, son certificat et tout cadre juridique qui la reconnaît. La preuve ne vaut que tant que ce fournisseur nommé reste en activité.
C'est exactement le bon modèle lorsqu'un processus exige un service de temps tiers reconnu.
Qu'est-ce qu'une preuve d'existence Label 309 ?
Label 309 est un standard ouvert et indépendant du fournisseur pour les records de preuve d'existence sur Cardano. Il a été soumis au processus CIP de Cardano et fait l'objet d'un examen par les éditeurs CIP en tant que proposition de la catégorie Metadata.
Dans sa forme la plus simple, un record Label 309 publie une empreinte du contenu dans les métadonnées d'une transaction Cardano, sous le label de métadonnées 309. L'heure du bloc de cette transaction devient le témoin de temps public. Pour vérifier, n'importe qui récupère la transaction depuis un explorateur Cardano, valide le format du record, recalcule l'empreinte à partir des octets d'origine et contrôle qu'elle correspond. L'éditeur n'est jamais contacté.
Un record Label 309 peut aussi porter davantage qu'une simple empreinte : des signatures d'auteur optionnelles, des références à des contenus chiffrés scellés, des emplacements de clé par destinataire, des racines de Merkle qui s'engagent sur de grandes listes hors chaîne, et un pointeur vers un record qu'il remplace. Rien de tout cela ne cadre avec l'image classique « demander un jeton à un serveur d'horodatage » — et c'est en partie le but.
Quelle est la différence fondamentale ?
Une TSA repose sur un modèle de confiance institutionnel.
Vous faites confiance au fait qu'un service précis a été autorisé, a fonctionné correctement, a utilisé une horloge fiable, a protégé sa clé de signature, a suivi sa politique annoncée et a émis un jeton valide. La vérification s'appuie sur cette autorité et son infrastructure à clés publiques (PKI).
Label 309 repose sur un modèle de confiance fondé sur le record public.
Vous faites confiance à la chaîne publique Cardano pour l'inclusion et l'heure du bloc, à la fonction de hachage pour lier le contenu, et au vérificateur pour une validation correcte. Vous n'avez pas besoin de faire confiance à CardanoWall, au serveur de l'éditeur ni à une quelconque autorité d'émission unique pour contrôler la preuve de base. Un vérificateur n'a besoin que de la référence de transaction, éventuellement des octets du contenu, et d'un explorateur Cardano public.
La question n'est donc pas « lequel est universellement meilleur ? ». Elle est :
De quel modèle de confiance ce flux de travail a-t-il besoin ?
Quand devriez-vous utiliser une autorité d'horodatage ?
Utilisez une TSA lorsque le flux de travail l'impose. Cela inclut généralement :
- les contrats qui désignent un fournisseur d'horodatage précis ;
- les systèmes de signature électronique bâtis autour de certificats X.509 ;
- les processus réglementés qui requièrent un service de confiance qualifié ;
- les juridictions où les horodatages qualifiés bénéficient de présomptions juridiques spécifiques ;
- la signature de PDF et les flux de validation à long terme (LTV) ;
- les processus documentaires d'entreprise déjà bâtis sur une PKI.
Dans l'Union européenne, le règlement eIDAS confère aux horodatages électroniques qualifiés un statut juridique spécifique. L'article 41, paragraphe 1, dispose qu'un horodatage électronique ne peut être privé d'effet juridique au seul motif qu'il se présente sous une forme électronique, et l'article 41, paragraphe 2, accorde à un horodatage électronique qualifié une présomption d'exactitude de la date et de l'heure qu'il indique et d'intégrité des données auxquelles il est associé. Cette présomption fait peser la charge de la preuve sur quiconque conteste l'horodatage — sans pour autant rendre un horodatage automatiquement déterminant dans tous les cas. C'est une raison forte et propre à la juridiction d'employer les services qualifiés là où ils s'appliquent.
Si un avocat, un régulateur, une règle de marché public ou une norme exige un « horodatage qualifié », utilisez l'horodatage qualifié.
Quand devriez-vous utiliser Label 309 ?
Utilisez Label 309 lorsque vous voulez une preuve publique, vérifiable de façon indépendante, qui ne dépend pas d'un fournisseur d'horodatage unique. Elle convient à des flux de travail comme :
- prouver qu'un fichier, un jeu de données ou un manifeste existait à une date publique ;
- ancrer des manifestes de génération de contenu par IA ;
- engager des preuves de version issues d'un pipeline CI/CD ;
- publier la racine d'un journal de conformité ;
- conserver des fichiers scellés pour vous-même ou des destinataires précis ;
- engager des milliers d'empreintes au travers d'une seule racine de Merkle ;
- bâtir un produit ou une API autour de records de preuve ouverts ;
- permettre à des tiers de vérifier des records sans que votre service intervienne.
L'avantage pratique tient à la portabilité. La preuve n'est qu'une transaction Cardano et les octets sur lesquels elle s'engage. Si CardanoWall — ou quiconque a publié le record — disparaît, la preuve se vérifie toujours à partir de la chaîne et du contenu d'origine. Il n'y a aucun certificat à renouveler et aucune autorité dont l'arrêt invaliderait quoi que ce soit. Pour les fondamentaux, commencez par ce qu'est une preuve d'existence.
Lequel est préférable comme preuve juridique ?
Cela dépend de la question juridique, et vous devriez considérer le reste de cette section comme une distinction d'architecture technique, et non comme un conseil juridique.
Un horodatage qualifié peut avoir un poids légal ou contractuel qu'une preuve sur blockchain n'a pas automatiquement. Cela compte pour la signature documentaire réglementée, les services de confiance transfrontaliers et les flux formels de signature électronique — la présomption eIDAS ci-dessus en est un exemple concret.
Une preuve Label 309 peut tout de même constituer une preuve solide de datation et d'intégrité, surtout lorsque l'objectif est de démontrer un engagement public que l'éditeur ne contrôlait pas. Elle peut aussi s'engager sur des structures qu'un jeton de TSA ne cherche jamais à modéliser : contenus scellés, distribution aux destinataires, lots Merkle et manifestes propres à une application. Ce qu'elle ne fait pas — pas plus qu'un jeton de TSA — c'est prouver que le contenu est véridique, que vous en êtes le propriétaire, que vous en êtes l'auteur ou que vous en détenez le moindre droit. Une preuve d'existence est une affirmation portant sur la datation et l'intégrité, rien de plus.
Pour un usage à fort enjeu, demandez à un conseil juridique quel ensemble de preuves convient à votre juridiction et à votre processus.
Pouvez-vous utiliser les deux ?
Oui — et pour les records importants, c'est souvent la réponse sensée :
- Hachez le fichier ou le manifeste.
- Obtenez un jeton d'horodatage RFC 3161 ou qualifié, si le flux de travail en a besoin.
- Réunissez le jeton d'horodatage, l'empreinte du fichier et les preuves associées dans un manifeste.
- Publiez une preuve Label 309 pour ce manifeste, ou pour une racine de Merkle couvrant l'ensemble des preuves.
Le record dispose alors de deux couches de datation indépendantes :
- un horodatage institutionnel émis par une TSA reconnue ;
- un ancrage sur blockchain publique sous un format de preuve ouvert.
Les deux répondent à la même question générale de datation depuis des racines de confiance distinctes ; une faiblesse dans l'une des couches ne fait donc pas s'effondrer l'autre.
Que ne prouve pas une autorité d'horodatage ?
Un jeton de TSA ne prouve pas que le contenu est véridique. Il ne prouve pas la propriété. Il ne préserve pas le fichier d'origine, sauf si votre propre système le conserve. Il n'établit pas qui est l'auteur du fichier. Il ne rend pas valable un processus défaillant.
Il prouve qu'une TSA donnée a signé un jeton d'horodatage pour un condensé, conformément à sa politique. C'est utile — et c'est une affirmation précise et bornée.
Que ne prouve pas Label 309 ?
Label 309 ne devient pas un horodatage qualifié et ne remplace pas les exigences juridiques propres à une juridiction. Il n'identifie pas une personne réelle, sauf si des signatures et un contexte d'identité sont gérés autour du record. Il ne prouve à lui seul ni la véracité, ni la propriété, ni la conformité.
Ce qu'il prouve, c'est un engagement public, vérifiable de façon indépendante, sur Cardano — avec des couches optionnelles pour les signatures, le contenu scellé, les destinataires et le regroupement Merkle.
En résumé
Utilisez une autorité d'horodatage lorsque vous avez besoin d'un horodatage tiers reconnu — pour une PKI, la signature documentaire ou des flux juridiques réglementés.
Utilisez Label 309 lorsque vous avez besoin d'une preuve publique ouverte que chacun peut vérifier sans l'éditeur ni une autorité d'émission unique.
Utilisez les deux lorsque le record compte suffisamment pour que deux couches de datation indépendantes en vaillent la peine.
Pour d'autres angles sur cette comparaison, Label 309 côtoie une approche ancrée sur Bitcoin dans Preuve d'existence ou OpenTimestamps et une approche de signature logicielle dans Preuve d'existence ou Sigstore.
Pour aller plus loin
- IETF RFC 3161, le protocole d'horodatage : https://datatracker.ietf.org/doc/html/rfc3161
- Règlement eIDAS (UE) n° 910/2014, articles 41 et 42 sur les horodatages électroniques : https://eur-lex.europa.eu/eli/reg/2014/910/oj/eng
- Le standard Label 309 : https://label309.org
- Le code open source, les SDK et le CLI : https://github.com/cardanowall
- La soumission CIP de Cardano : https://github.com/cardano-foundation/CIPs/pull/1205