← Retour Φ
Accéder à Φ
01 — Vue d'ensemble du protocole

Huit actes. Un seul récit probatoire.

Chaque acte est inscrit simultanément dans deux journaux indépendants — celui de l'expéditeur et celui du signataire. Aucune des deux parties ne peut réécrire l'histoire.

σ a EXPÉDITEUR journal probatoire σa σ b SIGNATAIRE journal probatoire σb RÉSEAU chiffré · opaque #01 DOC_SENT τ : 14:32:00 h:8f3a… #01 DOC_RECV τ : 14:32:01 h:8f3a… enveloppe chiffrée #02 DOC_OPEN τ : 14:33:12 h:2c91… #02 ACK_OPEN τ : 14:33:12 h:2c91… accusé d'ouverture LECTURE MESURÉE Durée : 02:14 · mesure active #03 DOC_READ τ : 14:35:26 h:e07d… #03 ACK_READ τ : 14:35:26 h:e07d… fin de lecture · 02:14 SIGNATURE TRIADE Signature · Mention · Biométrie #04 DOC_SIGN τ : 14:38:44 h:a4f2… #04 ACK_SIGN τ : 14:38:44 h:a4f2… hashs entrelacés · même valeur G Certificat Φ DÉLIVRÉ · σa Certificat Φ DÉLIVRÉ · σb SYMÉTRIE PROBATOIRE CONFIRMÉE — → flux chiffré (solid) - → accusé (tirets) ═ → hashs entrelacés
Diagramme A · Protocole complet Expéditeur / Signataire — huit actes probatoires

Le protocole se déroule en quatre échanges — chacun inscrit simultanément dans les deux journaux. Les hashs sont identiques des deux côtés : c'est la preuve que les deux parties ont bien vécu le même événement, au même instant.

La signature finale (ACK_SIGN / DOC_SIGN) produit la même valeur G dans les deux enclaves. Toute divergence entre les journaux de l'expéditeur et du signataire rend le certificat impossible à délivrer.

02 — L'enveloppe chiffrée

Le réseau voit une enveloppe.
Pas un document.

Le document voyage chiffré. Ni le serveur de messagerie, ni aucun intermédiaire ne peut en lire le contenu. Le déchiffrement n'a lieu que dans l'enclave du signataire.

σ a PDF EXPÉDITEUR chiffre localement CHIFFREMENT ML-KEM-768 DESTINATAIRE RÉSEAU contenu illisible · opaque Tout canal de transport : illisible σ b PDF SIGNATAIRE déchiffre localement DÉCHIFFREMENT dans l'enclave σb INLINE transport sur le réseau OFFLINE déchiffrement hors réseau Inline-Offline™
Diagramme B · L'enveloppe chiffrée — procédé Inline-Offline™
Inline-Offline™ · Brevet déposé

Le transport ne voit que l'enveloppe. Le contenu ne se révèle qu'à destination.

L'expéditeur chiffre le document sur son dispositif avant envoi. L'enveloppe chiffrée transite par n'importe quel canal — messagerie, mail, transfert de fichiers, SMS. Le canal ne sait pas ce qu'il transporte.

Le signataire reçoit l'enveloppe. Son dispositif Φ la déchiffre dans l'enclave matérielle — jamais sur un serveur, jamais en clair sur le réseau. La décision de déchiffrement appartient au silicium du signataire, pas au serveur de messagerie.

C'est la différence fondamentale avec le chiffrement de bout-en-bout des messageries. Les messageries chiffrées grand public chiffrent le transport — mais leur éditeur peut déchiffrer sur ses serveurs. Φ ne peut pas : le déchiffrement a lieu dans l'enclave du destinataire, hors d'atteinte de tout serveur.

03 — La lecture mesurée

Signataire lit. Le temps est mesuré.
La preuve est déjà constituée.

Avant de signer, le signataire lit le document. La durée de lecture est mesurée par un compteur matériel, inscrite dans le journal du signataire, confirmée au journal d'Expéditeur. C'est la première preuve que le signataire a eu connaissance du document.

Même les Conditions Générales d'Utilisation de Φ lui-même sont lues sous minutage — première démonstration du procédé dès l'installation.

04 — Le vérificateur déterministe

Le certificat n'est pas automatique.
Le vérificateur statue.

Avant toute délivrance du certificat, un vérificateur déterministe analyse la cohérence entre quatre sources indépendantes. Aucune intervention discrétionnaire. Si les journaux divergent — aucun certificat.

ANALYSE DÉTERMINISTE DE COHÉRENCE JOURNAL EXPÉDITEUR σa données locales Expéditeur JOURNAL SIGNATAIRE σb données reçues du signataire CANAL EXTERNE traces indépendantes COMPTEUR MATÉRIEL τ vérificateur DÉTERMINISTE analyse de cohérence Certificat Φ EXPÉDITEUR · SIGNATAIRE DÉLIVRÉ DES DEUX CÔTÉS SI COHÉRENT aucun certificat JOURNAUX DIVERGENTS SI INCOHÉRENT règles fixes · reproductibles · sans intervention discrétionnaire
Schéma C · Analyse déterministe — quatre sources → vérificateur → certificat bilatéral ou refus

Le vérificateur analyse quatre sources strictement indépendantes : le journal de l'expéditeur, le journal du signataire, les traces du canal de communication, et le compteur matériel τ — ancré dans le silicium des deux dispositifs.

Si les hashs des journaux concordent, si les horodatages sont cohérents, si les entrées sont dans le bon ordre irréversible — le certificat est délivré simultanément des deux côtés. Sinon, aucun certificat n'est émis, d'aucun côté. Il n'existe pas de certificat partiel.

Ce que le vérificateur détecte

Toute tentative de manipulation produit une incohérence détectable.

Antidatage. Le compteur matériel strictement croissant rend impossible l'insertion d'une entrée avec une date antérieure. Une entrée antidatée produit un compteur incohérent — le vérificateur rejette.

Réécriture du journal. Chaque entrée est chaînée à la précédente par un hash. Modifier une entrée casse toute la chaîne — divergence immédiate avec le journal de l'autre partie.

Contestation unilatérale. Le signataire ne peut pas prétendre ne pas avoir signé si son journal porte DOC_SIGN avec le même hash que l'expéditeur. Expéditeur ne peut pas prétendre n'avoir jamais envoyé si son journal porte DOC_SENT avec le même hash que le journal du signataire.

Le juge n'arbitre pas entre deux versions.
Il lit un seul certificat — la même preuve dans les deux journaux.

La preuve n'est pas produite — elle est constatée.
Par un vérificateur que personne ne contrôle.

Procédé objet du brevet divisionnaire — revendications R1 (analyse déterministe de cohérence) et R1bis (attestation dérivée à divulgation nulle de connaissance).

05 — Le certificat bilatéral

Un certificat pour chaque partie.
Un seul récit.

À l'issue du protocole, Expéditeur et Signataire détiennent chacun leur certificat Φ. Les deux sont identiques dans leur structure, symétriques dans leurs preuves, et se contredisent mutuellement s'ils sont altérés.

CERTIFICAT Φ Φ σa Expéditeur ✓ certifié Φ Destinataire ✓ certifié Φ Lecture mesurée 02:14 Signature Mention Biométrie h: a4f2c9e1b83d7f… Réf. Φ-2026-05-10-A7F3 CERTIFICAT Φ Φ σb Expéditeur ✓ certifié Φ Destinataire ✓ certifié Φ Lecture mesurée 02:14 Signature Mention Biométrie h: a4f2c9e1b83d7f… Réf. Φ-2026-05-10-A7F3 MÊME HASH symétrie confirmée EXPÉDITEUR DÉTIENT SIGNATAIRE DÉTIENT vérifiable par tout expert ou juge · sans tiers de confiance
Diagramme C · Certificats symétriques — Expéditeur et Signataire

Le hash a4f2… apparaît dans les deux certificats. C'est la même valeur G, calculée dans deux enclaves distinctes, sur la base des mêmes intrants. Toute tentative d'altération d'un certificat produit un hash divergent — et la preuve s'effondre d'elle-même, sans qu'un tiers ait besoin d'arbitrer.

La contestation unilatérale est structurellement impossible.
Les deux journaux se contredisent mutuellement.

Propriété objet d'un brevet déposé — symétrie probatoire et impossibilité de contestation unilatérale.

Pour aller plus loin

Approfondir le procédé.

Architecture
La mécanique probatoire
Les cinq étapes du procédé — en détail technique complet.
Lire →
Cryptographie
Résistance quantique
ML-DSA-65, ML-KEM-768 — l'architecture post-quantique de Φ.
Lire →
Droit
Conformité juridique
Articles 1366 et 1367 du Code civil, eIDAS 2 — la validité en droit.
Lire →
Φ
La preuve croisée

Chacun détient la preuve de l'autre.

Pour chaque acte, la portion du journal chaîné qui concerne les deux parties est transmise à l'une et à l'autre. Ainsi, nul ne peut contester la réalité qui le concerne, dès lors que l'autre partie en détient la preuve — chaînée, scellée, infalsifiable.

L'expéditeur conserve la preuve du geste du signataire ; le signataire conserve la preuve de l'envoi. Seule la portion relative à cet échange est partagée — jamais le reste du journal de l'autre.

Renier son acte reviendrait à contredire une preuve déjà entre les mains de l'autre. La répudiation est techniquement intenable — non par déclaration, mais par construction. Lors d'une restauration sur un nouvel appareil, les journaux sont réintégrés : la symétrie probatoire survit à la perte du dispositif.