Siirdu põhisisu juurde
Certyneo
Arhitektuuri infograafia

Seitse turvalisuse kihti eIDASe vastavas elektroonilises allkirjas

Mõista, mis toimub kaabli all, kui sa allkirjastad dokumendi: 7 krüptograafilist kihti, mis on kokku pandud, igaüks oma standarditega (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, EAL4+ ühine kriteerium).

Seitse katet ohutuskujul

Iga kiht pakub oma kindlat tagatist. Et allkiri oleks eIDASi vastav ja vastuvõetav, peavad kõik 7 olema olemas ja nõuetekohaselt rakendatud.

- Pööra.1

Allakirjutuse identifitseerimine

Sertifitseeritud Certyneo

Enne allkirjastamist identifitseeritakse allkirjastanud isik SMS-koodi, ID-skandeerimise või kvalifitseeritud sertifikaadi (QES) abil.

📜 eIDAS Annexe II §1.b

Kui allkiri ei ole usaldusväärne identifitseerimisandmed, ei ole see tõendatav (tsiviilseadustiku 1367).

- Pööra.2

Liiklusohutus

Sertifitseeritud Certyneo

TLS 1.3 kõigis kliendi-serveri sidevahendites. Ei ole lubatud TLS 1.0/1.1 alla laadida. EV sertifikaadid pööratakse kvartaalselt.

📜 TLS 1.3 (RFC 8446)

Eemaldab dokumendi pealtkuulamise saatja ja allkirjastaja vahel (MITM-rünnak).

- Pööra.3

Krüptograafiline allkiri (PAdES)

Sertifitseeritud Certyneo

Allakirjutamine PAdES (PDF Advanced Electronic Signature) vormi järgi vastavalt ETSI EN 319 142 dokumentile seotud allkiri, mitte välisele wraperile.

📜 ETSI EN 319 142 (PAdES)

Tagatakse, et allkirja ei saa eemaldada ja lisada teisele dokumendile.

- Pööra.4

Kvalifitseeritud ajaleht

Sertifitseeritud Certyneo

RFC 3161 kellaline, mis on välja antud ELi LOTL-i registreeritud kvalifitseeritud asutuselt (TSA).

📜 RFC 3161 + ETSI EN 319 421

Tõestab, et allkiri eksisteeris konkreetsel hetkel T, mitte taastatud hiljem.

- Pööra.5

HSM-moodul (kordistamise süsteem)

Sertifitseeritud Certyneo

Allkirjastamise eravõtmed hoitakse HSM-is, mis on sertifitseeritud EAL4+ ja FIPS 140-2 tasemega.

📜 Critères Communs EAL4+ / FIPS 140-2

See takistab võtme varguse isegi juhul, kui rakenduse server on kompromiteeritud.

- Pööra.6

Auditeerimine eIDASi jälgimisel

Sertifitseeritud Certyneo

Iga allkirjastamise tsükli sündmuse muutmatu log (loomine, saatmine, allkirjastamine, pitserdamine) koos IP-i, kellaline, identiteediga.

📜 ETSI EN 319 102-1

Toodab täielikku tõendusmaterjali, mida kohus vaidluse korral nõuab.

- Pööra.7

Tõendusandmete arhiivimine

Sertifitseeritud Certyneo

Allkirjastatud dokumendi + audit trail + sertifikaadi säilitamine vähemalt 10 aasta jooksul AFNOR NF Z42-013 nõuetele vastavas süsteemis.

📜 AFNOR NF Z42-013

Säilitab dokumendi tõendusvõime kogu tsiviilõiguse aegumise ajal.

Nelja peamist ohtu ja nende leevendamine

Tugev allkirja arhitektuur on loodud vastama neljale tavalisele rünnakule.

  • Identiteedi väärkasutamine "teine allkirjastas minu asemel"

    SMS-autentifitseerimine / ID skaneerimine + IP-log ja asukoha tuvastamine.

    Langi 1 (Identifitseerimine)

  • Dokumendi muutmine "allkirjastatud sisu on muudetud"

    HSM-võti allkirjastatud dokumendi SHA-256 hash. Kõik hilisemad muudatused kehtestavad hashi ja allkirja.

    Lööd 3 & 5 (allkiri + HSM)

  • Mees keskel "kolmas lõikas"

    TLS 1.3 kohustuslik EV + HSTS sertifikaatidega eelkäiguga kõigis valdkondades.

    Liiga 2 (transpordi)

  • Repudiation "ma ei ole kunagi selle kuupäeva allkirjastanud"

    Audit trail immutable + kvalifitseeritud ajastamismärk RFC 3161 + AFNOR tõendusandmete arhiveerimine.

    Lõiged 4, 6 ja 7 (Tähtistamine + Audit + Arhiveerimine)

Metoodika

Seitse kirjeldatud kihti vastavad Certyneo turvalisuse arhitektuurile, mis vastab 2014. aasta eIDASe määrusele (EL 910/2014), ETSI EN 319 standarditele (allkirja- ja varjatud seeria), ANSSI üldisele turvalisuse andmebaasile (GRS**) ja AFNOR NF Z42-013 standardile tõendite salvestamiseks.

Et minna edasi

Krüptograafiliselt suletud elektrooniline allkiri

Kõiki 7 ülemist kihti rakendatakse vaikimisi kõigis Certyneo plaanides, sealhulgas tasuta kavas.