Les 7 capes de seguretat d'una signatura electrònica conforme amb eIDAS
Entendre el que passa sota el caput quan signes un document: 7 capes criptogràfiques empilades, cadascuna amb el seu estàndard de referència (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Criteris Comuns EAL4+).
Les set capes de la pila de seguretat
Cada capa aporta una garantia específica. Per a que una signatura sigui conforme eIDAS i controvèrtida, les 7 han de ser presents i correctament implementades.
Identificació del signatari
Certyneo certificatAbans de qualsevol signatura, el signant es identifica mitjançant codi SMS, escaneig d'ID, o certificat qualificat (QES).
📜 eIDAS Annexe II §1.b
Sense una identificació fiable, la signatura no té valor probatori (Code Civil 1367).
Seguretat del transport
Certyneo certificatTLS 1.3 en totes les comunicacions client servidor. No es permet la downgrade a TLS 1.0/1.1.
📜 TLS 1.3 (RFC 8446)
Impedeix la intercepció del document entre l'emissor i el signant (atac MITM).
Signatura criptogràfica (PAdES)
Certyneo certificatAplicació de la signatura al format PAdES (PDF Advanced Electronic Signature) segons ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Garanti que la signatura no es pot desprendre i pegar en un altre document.
Estampació qualificada
Certyneo certificatIncorporació d'un horari RFC 3161 emès per una autoritat qualificada (TSA) inscrita en el LOTL de la UE. Precisió a mil·lisegons.
📜 RFC 3161 + ETSI EN 319 421
Demuestra que la signatura existeix en un moment T precis, no reconstruïda a posteriori.
Module HSM (Module de seguretat de hardware)
Certyneo certificatLes claus privades de signatura s'emmagatzemen en un HSM certificat Criteris Comuns EAL4+ i FIPS 140-2 nivell 3.
📜 Critères Communs EAL4+ / FIPS 140-2
Impedeix el robatori de claus, fins i tot en cas de comprometiment del servidor d'aplicacions.
Audit trail eIDAS
Certyneo certificatRegistre immutable de cada esdeveniment del cicle de signatura (creació, enviament, signatura, segell) amb IP, horari, identitat.
📜 ETSI EN 319 102-1
Proporciona la prova completa que un tribunal demani en cas de litigi.
Arxiu d'evidència
Certyneo certificatEmmagatzematge del document signat + audit trail + certificat durant un mínim de 10 anys en un sistema conforme a AFNOR NF Z42-013.
📜 AFNOR NF Z42-013
Conserva el valor probatori del document durant tota la prescripció civil.
Les 4 principals amenaces i la seva mitigació
Una arquitectura de signatura sòlida està dissenyada per resistir quatre atacs clàssics.
Usurpació d'identitat "algú va signar en lloc meu"
Autenticació per SMS / escaneig d'ID + registre d'IP i geolocalització.
Ller 1 (Identificació)
Canviació del document "el contingut signat ha estat modificat"
Hash SHA-256 del document signat per la clau HSM. Qualsevol modificació posterior invalidarà el hash i la signatura.
Capes 3 i 5 (Signatura + HSM)
Man-in-the-middle "un tercer ha interceptat"
TLS 1.3 obligatòria amb certificats EV + HSTS precarregats en tots els dominis.
Llistat 2 (Transport)
Repudiation "mai he signat / no en aquesta data"
Audit trail immutable + horoscopi qualificat RFC 3161 + arxiu d'evidència AFNOR.
Llistes 4, 6 i 7 (Cadernar + Audit + Arxiu)
Metodologia
Les 7 capes descrites corresponen a l'arquitectura de seguretat Certyneo, conforme al Reglament eIDAS de 2014 (UE 910/2014), a les normes ETSI EN 319 (Signature and Cachets series), al Repertori General de Seguretat (RGS**) de l'ANSSI, i a la norma AFNOR NF Z42-013 per a l'arxiu d'evidència.
Per anar més enllà
Una signatura electrònica segellada encriptograficament
Les 7 capes anteriors s'implementen per defecte en tots els plans Certyneo, inclòs el pla gratuït.