Die 7 Sicherheitsschichten einer eIDAS-konformen elektronischen Signatur
Verstehen Sie, was unter der Haube passiert, wenn Sie ein Dokument signieren: 7 gestapelte Kryptografieschichten, jede mit ihrem Referenzstandard (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+). Ohne auch nur eine, ist die Signatur nicht durchsetzbar.
Die 7 Schichten des Sicherheitsstacks
Jede Schicht bietet eine spezifische Garantie. Damit eine Signatur eIDAS-konform und durchsetzbar ist, müssen alle 7 vorhanden und korrekt implementiert sein. Certyneo ist auf jeder zertifiziert.
Identifikation des Unterzeichners
Certyneo zertifiziertVor jeder Signatur wird der Unterzeichner per SMS-Code, ID-Scan oder qualifiziertem Zertifikat (QES) identifiziert. Dies ist die Schicht, die auf "wer hat signiert?" antwortet.
📜 eIDAS Annexe II §1.b
Ohne zuverlässige Identifikation hat die Signatur keinen Beweiskraftwert (Bürgerliches Gesetzbuch 1367).
Transportssicherheit
Certyneo zertifiziertTLS 1.3 auf allen Client-↔-Server-Kommunikationen. Kein Downgrade zu TLS 1.0/1.1 erlaubt. EV-Zertifikate mit vierteljährlicher Rotation.
📜 TLS 1.3 (RFC 8446)
Verhindert die Abfangung des Dokuments zwischen Absender und Unterzeichner (MITM-Angriff).
Kryptografische Signatur (PAdES)
Certyneo zertifiziertAnbringung der Signatur im PAdES-Format (PDF Advanced Electronic Signature) nach ETSI EN 319 142. Signatur an das Dokument gebunden, nicht an einen externen Wrapper.
📜 ETSI EN 319 142 (PAdES)
Garantiert, dass die Signatur nicht abgelöst und auf ein anderes Dokument eingefügt werden kann.
Qualifizierter Zeitstempel
Certyneo zertifiziertIntegration eines RFC-3161-Zeitstempels, der von einer qualifizierten Behörde (TSA) ausgestellt wurde, die in der EU LOTL eingetragen ist. Genauigkeit auf Millisekunde.
📜 RFC 3161 + ETSI EN 319 421
Beweist, dass die Signatur zu einem genauen Zeitpunkt T existiert, nicht nachträglich rekonstruiert.
HSM-Modul (Hardware Security Module)
Certyneo zertifiziertDie privaten Signaturschlüssel werden in einem HSM gespeichert, das die Kriterien Common Criteria EAL4+ und FIPS 140-2 Level 3 erfüllt. Die Schlüssel verlassen das HSM nie im Klartext.
📜 Critères Communs EAL4+ / FIPS 140-2
Verhindert Schlüsseldiebstahl auch im Fall einer Kompromittierung des Anwendungsservers.
eIDAS-Audit-Trail
Certyneo zertifiziertUnveränderliches Protokoll jedes Ereignisses im Signaturzyklus (Erstellung, Versand, Signatur, Versiegelung) mit IP, Zeitstempel, Identität. Format konform ETSI EN 319 102-1.
📜 ETSI EN 319 102-1
Bietet den vollständigen Beweisnachweis, der von einem Gericht im Falle eines Rechtsstreits verlangt wird.
Beweiskräftige Archivierung
Certyneo zertifiziertSpeicherung des signierten Dokuments + Audit Trail + Zertifikat für mindestens 10 Jahre in einem System, das AFNOR NF Z42-013 entspricht. Periodische Neu-Zeitstempelung zur Bekämpfung der kryptografischen Obsoleszenz.
📜 AFNOR NF Z42-013
Bewahrt den Beweischarakter des Dokuments über die gesamte Verjährungsfrist.
Die 4 Hauptbedrohungen und ihre Risikominderung
Eine solide Signaturarchitektur ist dafür ausgelegt, 4 klassische Angriffe abzuwehren. Hier sind diese und welche Schicht sie neutralisiert.
Identitätsdiebstahl — "ein anderer hat an meiner Stelle unterschrieben"
SMS-Authentifizierung / ID-Scan + IP- und Geolokalisierungsprotokollierung. Für hochwertige Urkunden: QES-Zertifikat, ausgestellt von einem qualifizierten PSCo.
Schicht 1 (Identifikation)
Dokumentalterung — "der signierte Inhalt wurde geändert"
SHA-256-Hash des vom HSM-Schlüssel signierten Dokuments. Jede nachträgliche Änderung macht den Hash und die Signatur ungültig.
Schichten 3 & 5 (Signatur + HSM)
Man-in-the-Middle — "ein Dritter hat abgefangen"
TLS 1.3 obligatorisch mit EV-Zertifikaten + HSTS-Vorladung auf allen Domänen.
Schicht 2 (Transport)
Abstreitbarkeit — "ich habe niemals unterschrieben / nicht zu diesem Zeitpunkt"
Unveränderliches Audit Trail + qualifizierter Zeitstempel RFC 3161 + beweiskräftige AFNOR-Archivierung. Die Beweislast geht auf den Unterzeichner über.
Schichten 4, 6 & 7 (Zeitstempel + Audit + Archivierung)
Methodik
Die 7 beschriebenen Schichten entsprechen der Sicherheitsarchitektur von Certyneo, die der eIDAS-Verordnung von 2014 (EU 910/2014), den ETSI-Normen EN 319 (Signatur- und Siegel-Serien), dem Allgemeinen Sicherheitsrahmen (RGS**) der ANSSI und der AFNOR-Norm NF Z42-013 für beweiskräftige Archivierung entspricht. Jede Schicht wird jährlich von einem unabhängigen Dritten geprüft.
Weitere Informationen
Eine kryptografisch versiegelte elektronische Signatur
Die 7 oben beschriebenen Schichten werden standardmäßig auf allen Certyneo-Plänen implementiert, einschließlich des kostenlosen Plans.