Gå til hovedindhold
Certyneo
Infografisk arkitektur

De 7 sikkerhedslag i en eIDAS-konform elektronisk signatur

Forstå, hvad der sker under hætte, når du underskriver et dokument: 7 krypteringslag stablet, hver med sin referencestandard (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).

De syv lag af sikkerhedssamlingen

For at en signatur skal være eIDAS-konform og kan afvises, skal alle 7 være til stede og implementeres korrekt.

Læg1

Identifikation af underskriveren

Certificeret Certyneo

Før enhver underskrift, er underskriveren identificeret via SMS kode, ID-skanning, eller kvalificeret certifikat (QES).

📜 eIDAS Annexe II §1.b

Hvis der ikke er en pålidelig identifikation, er underskrivelsen ikke bevisværdig (Civil Code 1367).

Læg2

Transportsikkerhed

Certificeret Certyneo

TLS 1.3 på alle klient-server-kommunikationer. Ingen nedgradering til TLS 1.0/1.1 tilladt. EV-certifikater med kvartalsvis rotation.

📜 TLS 1.3 (RFC 8446)

Det forhindrer, at dokumentet kan aflyttes mellem sender og underskriver (MITM-angreb).

Læg3

Kryptografisk signatur (PAdES)

Certificeret Certyneo

Anbringelse af signaturen i PAdES (PDF Advanced Electronic Signature) format i henhold til ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Sikrer, at signaturen ikke kan løsnes og fastgøres på et andet dokument.

Læg4

Kvalificeret tidsstempel

Certificeret Certyneo

Integration af en RFC 3161 tidsstempel udstedt af en kvalificeret myndighed (TSA) registreret på EU LOTL.

📜 RFC 3161 + ETSI EN 319 421

Beviser, at signaturen eksisterer på et bestemt tidspunkt, ikke er rekonstrueret bagefter.

Læg5

HSM-modul (hardware security module)

Certificeret Certyneo

De private signaturnøgler opbevares i et HSM, der er certificeret efter EAL4+ og FIPS 140-2 niveau 3.

📜 Critères Communs EAL4+ / FIPS 140-2

Det forhindrer, at nøglen bliver stjålet, selv hvis applikationsserveren bliver kompromitteret.

Læg6

eIDAS-trail-audit

Certificeret Certyneo

Uforanderlig log over hver begivenhed i signaturcyklussen (opstilling, afsendelse, signatur, forsegling) med IP, tidsstempel, identitet.

📜 ETSI EN 319 102-1

Den giver det fulde bevismateriale, som en domstol kræver i tilfælde af en tvist.

Læg7

Bevisarkiv

Certificeret Certyneo

Opbevaring af det underskrevne dokument + audit trail + certifikat i mindst 10 år i et AFNOR NF Z42-013-konformt system.

📜 AFNOR NF Z42-013

Dokumentet bevares som bevismateriale under hele den civile forældelsesfrist.

De 4 største trusler og hvordan man mindsker dem

En stærk signaturarkitektur er designet til at modstå fire klassiske angreb.

  • Identitetsmisbrug "anden har underskrevet i mit sted"

    SMS-autentifikation / ID-scan + IP-log og geolokalisering.

    Layer 1 (identifikation)

  • Ændring af dokumentet "det underskrevne indhold er ændret"

    Hash SHA-256 af dokumentet, der er underskrevet med HSM-nøglen.

    Layer 3 & 5 (signatur + HSM)

  • Man-in-the-middle "en tredje har afholdt"

    TLS 1.3 obligatorisk med EV + HSTS-certifikater preloadet på alle områder.

    Layer 2 (Transport)

  • Afvisning "Jeg har aldrig underskrevet / ikke på denne dato"

    RFC 3161 + AFNOR bevisarkivering.

    Layer 4, 6 & 7 (Tidstempling + Revision + arkivering)

Metode

De 7 lag, der er beskrevet, svarer til Certyneo-sikkerhedsarkitektur, der er i overensstemmelse med eIDAS-forordningen fra 2014 (EU 910/2014), ETSI EN 319-standarder (Signature and Cachets-serien), ANSSI's General Security Repository (GRS**) og AFNOR NF Z42-013-standarden for evidensoplagring.

For at gå videre

En krypteret elektronisk signatur

De 7 lag ovenfor implementeres som standard på alle Certyneo-planer, herunder den gratis plan.