Zum Hauptinhalt springen
Certyneo
Architektur-Infografik

Die 7 Sicherheitsschichten einer eIDAS-konformen elektronischen Signatur

Verstehen Sie, was unter der Haube passiert, wenn Sie ein Dokument signieren: 7 gestapelte Kryptografieschichten, jede mit ihrem Referenzstandard (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+). Ohne auch nur eine, ist die Signatur nicht durchsetzbar.

Die 7 Schichten des Sicherheitsstacks

Jede Schicht bietet eine spezifische Garantie. Damit eine Signatur eIDAS-konform und durchsetzbar ist, müssen alle 7 vorhanden und korrekt implementiert sein. Certyneo ist auf jeder zertifiziert.

Schicht 1

Identifikation des Unterzeichners

Certyneo zertifiziert

Vor jeder Signatur wird der Unterzeichner per SMS-Code, ID-Scan oder qualifiziertem Zertifikat (QES) identifiziert. Dies ist die Schicht, die auf "wer hat signiert?" antwortet.

📜 eIDAS Annexe II §1.b

Ohne zuverlässige Identifikation hat die Signatur keinen Beweiskraftwert (Bürgerliches Gesetzbuch 1367).

Schicht 2

Transportssicherheit

Certyneo zertifiziert

TLS 1.3 auf allen Client-↔-Server-Kommunikationen. Kein Downgrade zu TLS 1.0/1.1 erlaubt. EV-Zertifikate mit vierteljährlicher Rotation.

📜 TLS 1.3 (RFC 8446)

Verhindert die Abfangung des Dokuments zwischen Absender und Unterzeichner (MITM-Angriff).

Schicht 3

Kryptografische Signatur (PAdES)

Certyneo zertifiziert

Anbringung der Signatur im PAdES-Format (PDF Advanced Electronic Signature) nach ETSI EN 319 142. Signatur an das Dokument gebunden, nicht an einen externen Wrapper.

📜 ETSI EN 319 142 (PAdES)

Garantiert, dass die Signatur nicht abgelöst und auf ein anderes Dokument eingefügt werden kann.

Schicht 4

Qualifizierter Zeitstempel

Certyneo zertifiziert

Integration eines RFC-3161-Zeitstempels, der von einer qualifizierten Behörde (TSA) ausgestellt wurde, die in der EU LOTL eingetragen ist. Genauigkeit auf Millisekunde.

📜 RFC 3161 + ETSI EN 319 421

Beweist, dass die Signatur zu einem genauen Zeitpunkt T existiert, nicht nachträglich rekonstruiert.

Schicht 5

HSM-Modul (Hardware Security Module)

Certyneo zertifiziert

Die privaten Signaturschlüssel werden in einem HSM gespeichert, das die Kriterien Common Criteria EAL4+ und FIPS 140-2 Level 3 erfüllt. Die Schlüssel verlassen das HSM nie im Klartext.

📜 Critères Communs EAL4+ / FIPS 140-2

Verhindert Schlüsseldiebstahl auch im Fall einer Kompromittierung des Anwendungsservers.

Schicht 6

eIDAS-Audit-Trail

Certyneo zertifiziert

Unveränderliches Protokoll jedes Ereignisses im Signaturzyklus (Erstellung, Versand, Signatur, Versiegelung) mit IP, Zeitstempel, Identität. Format konform ETSI EN 319 102-1.

📜 ETSI EN 319 102-1

Bietet den vollständigen Beweisnachweis, der von einem Gericht im Falle eines Rechtsstreits verlangt wird.

Schicht 7

Beweiskräftige Archivierung

Certyneo zertifiziert

Speicherung des signierten Dokuments + Audit Trail + Zertifikat für mindestens 10 Jahre in einem System, das AFNOR NF Z42-013 entspricht. Periodische Neu-Zeitstempelung zur Bekämpfung der kryptografischen Obsoleszenz.

📜 AFNOR NF Z42-013

Bewahrt den Beweischarakter des Dokuments über die gesamte Verjährungsfrist.

Die 4 Hauptbedrohungen und ihre Risikominderung

Eine solide Signaturarchitektur ist dafür ausgelegt, 4 klassische Angriffe abzuwehren. Hier sind diese und welche Schicht sie neutralisiert.

  • Identitätsdiebstahl — "ein anderer hat an meiner Stelle unterschrieben"

    SMS-Authentifizierung / ID-Scan + IP- und Geolokalisierungsprotokollierung. Für hochwertige Urkunden: QES-Zertifikat, ausgestellt von einem qualifizierten PSCo.

    Schicht 1 (Identifikation)

  • Dokumentalterung — "der signierte Inhalt wurde geändert"

    SHA-256-Hash des vom HSM-Schlüssel signierten Dokuments. Jede nachträgliche Änderung macht den Hash und die Signatur ungültig.

    Schichten 3 & 5 (Signatur + HSM)

  • Man-in-the-Middle — "ein Dritter hat abgefangen"

    TLS 1.3 obligatorisch mit EV-Zertifikaten + HSTS-Vorladung auf allen Domänen.

    Schicht 2 (Transport)

  • Abstreitbarkeit — "ich habe niemals unterschrieben / nicht zu diesem Zeitpunkt"

    Unveränderliches Audit Trail + qualifizierter Zeitstempel RFC 3161 + beweiskräftige AFNOR-Archivierung. Die Beweislast geht auf den Unterzeichner über.

    Schichten 4, 6 & 7 (Zeitstempel + Audit + Archivierung)

Methodik

Die 7 beschriebenen Schichten entsprechen der Sicherheitsarchitektur von Certyneo, die der eIDAS-Verordnung von 2014 (EU 910/2014), den ETSI-Normen EN 319 (Signatur- und Siegel-Serien), dem Allgemeinen Sicherheitsrahmen (RGS**) der ANSSI und der AFNOR-Norm NF Z42-013 für beweiskräftige Archivierung entspricht. Jede Schicht wird jährlich von einem unabhängigen Dritten geprüft.

Weitere Informationen

Eine kryptografisch versiegelte elektronische Signatur

Die 7 oben beschriebenen Schichten werden standardmäßig auf allen Certyneo-Plänen implementiert, einschließlich des kostenlosen Plans.