De 7 sikkerhedslag i en eIDAS-konform elektronisk signatur
Forstå, hvad der sker under hætte, når du underskriver et dokument: 7 krypteringslag stablet, hver med sin referencestandard (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).
De syv lag af sikkerhedssamlingen
For at en signatur skal være eIDAS-konform og kan afvises, skal alle 7 være til stede og implementeres korrekt.
Identifikation af underskriveren
Certificeret CertyneoFør enhver underskrift, er underskriveren identificeret via SMS kode, ID-skanning, eller kvalificeret certifikat (QES).
📜 eIDAS Annexe II §1.b
Hvis der ikke er en pålidelig identifikation, er underskrivelsen ikke bevisværdig (Civil Code 1367).
Transportsikkerhed
Certificeret CertyneoTLS 1.3 på alle klient-server-kommunikationer. Ingen nedgradering til TLS 1.0/1.1 tilladt. EV-certifikater med kvartalsvis rotation.
📜 TLS 1.3 (RFC 8446)
Det forhindrer, at dokumentet kan aflyttes mellem sender og underskriver (MITM-angreb).
Kryptografisk signatur (PAdES)
Certificeret CertyneoAnbringelse af signaturen i PAdES (PDF Advanced Electronic Signature) format i henhold til ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Sikrer, at signaturen ikke kan løsnes og fastgøres på et andet dokument.
Kvalificeret tidsstempel
Certificeret CertyneoIntegration af en RFC 3161 tidsstempel udstedt af en kvalificeret myndighed (TSA) registreret på EU LOTL.
📜 RFC 3161 + ETSI EN 319 421
Beviser, at signaturen eksisterer på et bestemt tidspunkt, ikke er rekonstrueret bagefter.
HSM-modul (hardware security module)
Certificeret CertyneoDe private signaturnøgler opbevares i et HSM, der er certificeret efter EAL4+ og FIPS 140-2 niveau 3.
📜 Critères Communs EAL4+ / FIPS 140-2
Det forhindrer, at nøglen bliver stjålet, selv hvis applikationsserveren bliver kompromitteret.
eIDAS-trail-audit
Certificeret CertyneoUforanderlig log over hver begivenhed i signaturcyklussen (opstilling, afsendelse, signatur, forsegling) med IP, tidsstempel, identitet.
📜 ETSI EN 319 102-1
Den giver det fulde bevismateriale, som en domstol kræver i tilfælde af en tvist.
Bevisarkiv
Certificeret CertyneoOpbevaring af det underskrevne dokument + audit trail + certifikat i mindst 10 år i et AFNOR NF Z42-013-konformt system.
📜 AFNOR NF Z42-013
Dokumentet bevares som bevismateriale under hele den civile forældelsesfrist.
De 4 største trusler og hvordan man mindsker dem
En stærk signaturarkitektur er designet til at modstå fire klassiske angreb.
Identitetsmisbrug "anden har underskrevet i mit sted"
SMS-autentifikation / ID-scan + IP-log og geolokalisering.
Layer 1 (identifikation)
Ændring af dokumentet "det underskrevne indhold er ændret"
Hash SHA-256 af dokumentet, der er underskrevet med HSM-nøglen.
Layer 3 & 5 (signatur + HSM)
Man-in-the-middle "en tredje har afholdt"
TLS 1.3 obligatorisk med EV + HSTS-certifikater preloadet på alle områder.
Layer 2 (Transport)
Afvisning "Jeg har aldrig underskrevet / ikke på denne dato"
RFC 3161 + AFNOR bevisarkivering.
Layer 4, 6 & 7 (Tidstempling + Revision + arkivering)
Metode
De 7 lag, der er beskrevet, svarer til Certyneo-sikkerhedsarkitektur, der er i overensstemmelse med eIDAS-forordningen fra 2014 (EU 910/2014), ETSI EN 319-standarder (Signature and Cachets-serien), ANSSI's General Security Repository (GRS**) og AFNOR NF Z42-013-standarden for evidensoplagring.
For at gå videre
En krypteret elektronisk signatur
De 7 lag ovenfor implementeres som standard på alle Certyneo-planer, herunder den gratis plan.