سبعة طبقات أمان للتوقيع الإلكتروني المتوافق مع eIDAS
فهم اللي بيحصل تحت الغطاء لما بتوقع مستند: سبع طبقات تشفير مكدسة، كل واحدة مع معيارها المرجعي (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, المعايير المشتركة EAL4+). من غير واحدة، التوقيع مش قابل للنقض.
السبع طبقات من سلة الأمان
كل طبقة بتقدم ضمانة محددة. علشان يكون التوقيع متوافق مع eIDAS ومقابل، لازم يكون كل سبعة موجودين ويتم تنفيذهم بشكل صحيح. ويتم اعتماد Certyneo على كل واحد.
هوية الموقع
Certyneo المعتمدقبل أي توقيع، يتم تحديد الموقع عن طريق رمز رسالة نصية، أو مسح هوية، أو شهادة مؤهلة (QES). ده الطبقة اللي بترد على من وقع؟ .
📜 eIDAS Annexe II §1.b
بدون هوية موثوقة، التوقيع مش بيعمل كدليل (القانون المدني 1367).
أمان النقل
Certyneo المعتمدTLS 1.3 على كل الاتصالات العميل الخادم. مش هتم بالتحديث ل TLS 1.0/1.1 مسموح. شهادات EV بتدور كل ربع.
📜 TLS 1.3 (RFC 8446)
بيمنع اعتراض الوثيقة بين المرسل والمتوقع (هجوم MITM).
التوقيع التشفير (PAdES)
Certyneo المعتمدوضع التوقيع في تنسيق PAdES (PDF Advanced Electronic Signature) حسب ETSI EN 319 142. التوقيع مرتبط بالوثيقة، مش مع غلاف خارجي.
📜 ETSI EN 319 142 (PAdES)
بيقين ان التوقيع مش ممكن يفتق ويتم صب عليه على وثيقة تانية.
طابعة وقت مؤهله
Certyneo المعتمددمج طوابع وقت RFC 3161 من سلطة مؤهلة (TSA) مسجلة على EU LOTL. دقة إلى الميلسكوند.
📜 RFC 3161 + ETSI EN 319 421
بيبرهن ان التوقيع موجود في لحظة T محددة، مش منشأ بعد.
وحدة HSM (وحدة أمن الأجهزة)
Certyneo المعتمدالمفاتيح الخاصة للتوقيع بتتخزن في HSM معتمدة مع المعايير المشتركة EAL4+ و FIPS 140-2 المستوى 3. المفاتيح مش بتخرج أبداً من HSM خالية.
📜 Critères Communs EAL4+ / FIPS 140-2
بيومن سرقة المفتاح حتى لو كان خادم التطبيقات تم اختراقه.
تدقيق مسار eIDAS
Certyneo المعتمديوم دخول ثابت لكل حدث في دورة التوقيع (إنشاء، إرسال، توقيع، ختم) مع IP، ختم الوقت، هوية. شكل مطابق بـ EN 319 102-1.
📜 ETSI EN 319 102-1
بيوفر أدلة كاملة مطلوبة من المحكمة في حالة نزاع.
أرشيف الادلة
Certyneo المعتمدتخزين الوثيقة الموقعة + مراجعة المسار + الشهادة لمدة 10 سنوات على الأقل في نظام متوافق مع AFNOR NF Z42-013. إعادة التثبيت الدوري لمواجهة التقادم الرموزي.
📜 AFNOR NF Z42-013
بيحافظ على قيمة الدليل في الوثيقة طوال فترة التقادم المدني.
الأهداف الأربعة الرئيسية وتخفيفها
بنية توقيع قوية صممت لتقاوم أربع هجمات تقليدية. هاهي أيّها، وأيّة طبقة تُعَارِضها.
هوية مزورة "واحد تاني وقع نيابة عني"
التوثيق بالرسائل القصيرة / مسح الهوية + سجل الـ IP والمكان الجغرافي. للفعاليات المعنية، شهادة QES من PSCO مؤهلة.
الطبقة 1 (التعرف)
تغيير الوثيقة "تم تغيير المحتوى الموقع"
هش SHA-256 من الوثيقة الموقعة بمفتاح HSM. أي تغيير بعد كده يفسد التجزئة والتوقيع.
الطبقات 3 و 5 (التوقيع + HSM)
Man-in-the-middle "ثالث تم اعتراضه"
TLS 1.3 إلزامي مع شهادات EV + HSTS مسبقة على كل المجالات.
الطبقة 2 (النقل)
رد "لم أوقع ابدا / لا بتاريخ دة"
مراجعة مسار ثابت + طابعة وقت مؤهلة RFC 3161 + أرشيف أدلة AFNOR. ينتقل عبء الأدلة إلى الموقع.
الطبقات 4، 6 و 7 (التسجيل + التدقيق + الأرشيف)
منهج
الستة طبقات اللي اتوصفت بتتوافق مع بنية الأمان Certyneo، اللي بتتوافق مع اللائحة eIDAS 2014 (EU 910/2014) ، مع معايير ETSI EN 319 (سلسلة التوقيع والسخافات) ، مع المرجع العام للأمن (RGS**) من ANSSI، ومعايير AFNOR NF Z42-013 للأدلة المرجعية. كل طبقة بتتم مراجعتها سنوياً من قبل شخص ثالث مستقل.
علشان نروح اكتر
توقيع إلكتروني مغلق بشفرة
سبع طبقات فوق بتعمل بشكل افتراضي على كل خطط Certyneo، بما في ذلك الخطة المجانية.