EIDASen araberako 7 segurtasun-geruza
Dokumentu bat sinatzen duzunean kapotaren azpian gertatzen dena ulertu: 7 goialde kriptografiko pilatuta, bakoitzak bere erreferentzia estandarrarekin (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, EAL4+ irizpide komunak).
Segurtasun-pilaketa.
Geruza bakoitzak berme zehatz bat dakar. Sinadura bat eIDAS arauetara egokitu eta kontrakoak izateko, zazpiak egon behar dute eta behar bezala gauzatu. Certyneo ziurtagiria dute.
Sinatzailearen identifikazioa
Certyneo ziurtagiriaSinadura guztiek sinatzailea identifikatzen dute SMS kodea, IDaren eskaneatzea edo ziurtagiri kualifikatua (QES) bidez.
📜 eIDAS Annexe II §1.b
Identifikazio fidagarri bat gabe, sinadurak ez du balio frogatzat (Kode zibila, 1367).
Garraioaren segurtasuna
Certyneo ziurtagiriaTLS 1.3 bezero-zerbitzari komunikazio guztietan. Ez dago TLS 1.0/1.1ra downgraderik baimendua. EV ziurtagiriak hiruhilekoan behin biraketa.
📜 TLS 1.3 (RFC 8446)
Bidali eta sinatu artean dokumentua ez harrapatzea eragozten du (MITM erasoa).
Sinadura kriptografikoa (PAdES)
Certyneo ziurtagiriaSinadura PAdES formatura (PDF Advanced Electronic Signature) igortzea, ETSI EN 319 142ren arabera.
📜 ETSI EN 319 142 (PAdES)
Ziurtatu sinadura ezin dela kendu eta beste dokumentu batean itsatsi.
Ordutegi-marka kualifikatua
Certyneo ziurtagiriaRFC 3161 ordutegi bat txertatzea, EU LOTLn erregistratu den agintari kualifikatu batek emana.
📜 RFC 3161 + ETSI EN 319 421
Frogatzen du sinadura existitzen dela une zehatz batean, ez atzera eginda.
HSM modulua (hardware segurtasun modulua)
Certyneo ziurtagiriaSinatzaileen giltza pribatuak EAL4+ eta FIPS 140-2 mailako HSM batean gordetzen dira.
📜 Critères Communs EAL4+ / FIPS 140-2
Giltzen lapurreta eragozten du aplikazioaren zerbitzaria hackeatuta ere.
EIDASen jarraipenaren auditoretza
Certyneo ziurtagiriaSinatze zikloko gertakari bakoitzaren erregistroa (sortzea, bidaltzea, sinatzea, zigilatzea) IP, ordutegia, identitatea.
📜 ETSI EN 319 102-1
Epaitegi batek eskatzen duen froga osoa ematen du.
Frogak gordetzeko.
Certyneo ziurtagiriaSinatutako dokumentuaren biltegiratzea + azterketa arrastoa + ziurtagiria gutxienez 10 urtez AFNOR NF Z42-013 arabera.
📜 AFNOR NF Z42-013
Dokumentuaren balioa mantentzen du zigor zigor zibilean zehar.
Lau mehatxu nagusiak eta haien murrizketa
Sinadura sendoen arkitektura lau eraso klasikoen aurka egiteko diseinatuta dago.
Nortasun faltsua: "beste batek sinatu du nire ordez".
SMS autentifikazioa / ID-aren eskaneatzea + IP-aren erregistroa eta kokapen geografikoa.
1 geruza (identifikazioa)
Dokumentuaren aldaketa "Sinatutako edukia aldatu da"
HSM gakoak sinatutako dokumentuaren SHA-256 hash. Gero aldatzeek hash-a eta sinadura baliogabetu egiten dituzte.
3 eta 5 geruza (HSM + sinadura)
"Hirugarren batek harrapatu du".
TLS 1.3 beharrezkoa EV + HSTS ziurtagiriekin alor guztietan.
2. geruza: garraioak.
Uko egitea "ez dut inoiz sinatu / ez data horretan"
Audit trail aldaezina + denbora zigilua RFC 3161 + AFNOReko frogak.
4., 6. eta 7. mailak (Egutegia + Auditua + Artxibatzea)
Metodologia
7 geruza horiek Certyneo segurtasun-arkitektura betetzen dute, 2014ko eIDAS araudiaren arabera (EU 910/2014), ETSI EN 319 estandarrak (Signature eta Cachets serieak), ANSSIren Segurtasun Erreferentzia Orokorra (RGS**) eta AFNOR NF Z42-013 estandarra.
Aurrera egin behar dugu.
- Segurtasun orria Certyneo
- Sinadura kualifikatuari buruz jakin beharreko guztia
- HSM (Hardware Security Module) gidaliburua
- Sinatutako dokumentu baten bizitzaren zikloa
- EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-etako EEBB-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B
Sinadura elektroniko zifratua.
Goiko 7 geruza Certyneo plan guztietan ezartzen dira, doako plana barne.