PD-282 — Specification Review (Step 3, v3)
- Story : PD-282 — ProofEnvelope auto-verifiable : scellement HSM global et materiel eIDAS/OCSP embarque
- Reviewer : ChatGPT (gpt-5.3-codex, agent factual, temperature 0.1)
- Date : 2026-03-02
- Documents audites : PD-282-specification.md, PD-282-tests.md
- Prompt :
3-specification-review v1.2.0
Synthese
| Gravite | Nombre |
| Bloquant | 1 |
| Majeur | 8 |
| Mineur | 1 |
| Total | 10 |
Ecarts identifies
ECR-01 — Algorithme/signature : deux sorties contractuelles distinctes
Type : Ambiguite
Reference : PD-282-specification.md §6 (ERR-03), §7 (CA-01/CA-02)
Description : Le cas "Signature invalide ou algorithme non conforme" autorise deux sorties contractuelles distinctes ("Rejet finalisation" ou "valid=false") sans condition de selection explicite entre phase de finalisation et phase de verification tierce.
Impact : Resultat attendu non univoque pour un meme defaut crypto ; divergence d'interpretation possible entre auditeurs et equipe tierce.
Gravite : Majeur
ECR-02 — OCSP revoked/unknown non contractualise
Type : Ambiguite
Reference : PD-282-specification.md §5.1.2 (ocspResponses[].status), §6 (ERR-05), §7 (CA-05) ; PD-282-tests.md §3 (TC-NOM-03), §4 (TC-ERR-05)
Description : Les statuts OCSP revoked et unknown sont modelises mais aucun comportement de decision n'est contractualise pour ces valeurs (acceptation, rejet, ou policy imposee).
Impact : Regle probatoire OCSP incomplete sur un cas critique de conformite ; verdict de verification potentiellement incoherent.
Gravite : Bloquant
ECR-03 — Mode B sans scenario nominal
Type : Incoherence Spec<->Tests
Reference : PD-282-specification.md §2 (Inclus : "Mode B"), §3 (Definition Mode B) ; PD-282-tests.md §3-§7
Description : Le mode de verification online public (Mode B) est dans le perimetre contractuel, mais aucun scenario nominal de succes Mode B n'est defini ; seuls des cas d'echec sont presents (TC-ERR-08).
Impact : Preuve attendue Spec<->Tests incomplete sur un engagement de perimetre explicite.
Gravite : Majeur
ECR-04 — Bornes P95 non testables
Type : Non testable
Reference : PD-282-specification.md §5.2 (latence/overhead P95), §10.2 (Q-02), §7 (CA-12) ; PD-282-tests.md §9
Description : Les bornes P95 sont contractualisees alors que l'environnement de reference est explicitement non fixe.
Impact : Acceptation/rejet performance non reproductible a priori.
Gravite : Majeur
ECR-05 — Root CA inclusion non fixee
Type : Ambiguite
Reference : PD-282-specification.md §10.2 (Q-05), §9 (H-01), §7 (CA-08) ; PD-282-tests.md §3 (TC-NOM-04)
Description : L'inclusion de la root CA dans les chaines embarquees reste ouverte, tandis que la verification Mode A depend de la disponibilite de cette ancre cote verificateur.
Impact : Determinisme de verification offline non garanti pour une enveloppe identique selon contexte de trust-store.
Gravite : Majeur
ECR-06 — INV-282-07 preuve partielle
Type : Incoherence Spec<->Tests
Reference : PD-282-specification.md §4 (INV-282-07) ; PD-282-tests.md §5 (TC-INV-07), §2 (INV-282-07 "Oui (partiel)")
Description : L'invariant impose un chiffrement au repos des artefacts crypto temporaires, tandis que le test dedie verifie principalement l'absence de persistance (full-memory) sans observable direct du mecanisme de chiffrement en cas de persistance effective.
Impact : Preuve de conformite de l'invariant partielle et interpretable differemment selon architecture d'execution.
Gravite : Majeur
ECR-07 — Controle anti-secrets non objectif
Type : Non testable
Reference : PD-282-specification.md §4 (INV-282-06), §7 (CA-06) ; PD-282-tests.md §5 (TC-INV-06), §7 (TC-NEG-08)
Description : Le controle anti-secrets est defini comme heuristique par patterns interdits, sans perimetre d'inspection formalise (niveau de profondeur, regles de matching, cas d'encodage/obfuscation).
Impact : Oracle de test non completement objectif ; risque de resultats non reproductibles.
Gravite : Majeur
ECR-08 — Risque cumule patterns + OCSP degradee
Type : Risque secu/conformite
Reference : PD-282-specification.md §4 (INV-282-06), §6 (ERR-05), §9 (H-04)
Description : La prevention d'exfiltration de secrets repose sur une liste minimale de patterns heuristiques, et la policy degradee OCSP_UNAVAILABLE autorise des enveloppes sans preuve OCSP ; les deux mecanismes reposent sur hypotheses externes de recevabilite.
Impact : Risque de contournement securite (patterns) et de contestation de conformite legale (eIDAS) malgre respect apparent du contrat technique.
Gravite : Majeur
ECR-09 — PD-280 alignement hypothetique
Type : Hypothese dangereuse
Reference : PD-282-specification.md §5.5, §9 (H-02), References (PD-280) ; PD-282-tests.md §6 (TC-NR-02)
Description : La compatibilite avec le modele d'etats global PD-280 est posee comme hypothese, alors que la story contractualise un automate UNSEALED/SEALED distinct avec terminalite stricte.
Impact : Risque de conflit inter-stories sur les transitions autorisees, detecte tardivement en integration.
Gravite : Majeur
ECR-10 — Monitoring OCSP_UNAVAILABLE sans test
Type : Incoherence Spec<->Tests
Reference : PD-282-specification.md §6 (note ERR-05 monitoring >10%/1h) ; PD-282-tests.md §3-§10
Description : L'exigence "DOIT etre implementee" pour le monitoring d'exploitation OCSP_UNAVAILABLE est normative dans la specification, mais aucun test contractuel associe n'est present.
Impact : Obligation normative sans preuve attendue dans le corpus de validation fourni.
Gravite : Mineur