EIDAS-valmistavan sähköisen allekirjoituksen 7 suoja-asetta
Ymmärrä, mitä tapahtuu huapin alla, kun allekirjoitat asiakirjan: 7 kryptografian kerrosta, joista kukin on vertailustandardi (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, EAL4+ Common Criteria).
Turva-appiparin seitsemän kerrosta
Jotta allekirjoitus olisi eIDAS-mukainen ja vastustettavissa, kaikki seitsemän on oltava läsnä ja asianmukaisesti toteutettu.
Allekirjoittajan tunniste
Certyneo on sertifioituEnnen allekirjoitusta allekirjoittaja tunnistetaan SMS-koodin, ID-skannin tai pätevän todistuksen (QES) avulla.
📜 eIDAS Annexe II §1.b
Jos allekirjoitus ei ole luotettava, se ei ole todisteellinen (siviililaki 1367).
Liikenteen turvallisuus
Certyneo on sertifioituTLS 1.3 kaikilla asiakas- palvelimen viestinnöillä. Ei alennusta TLS 1.0/1.1:ään sallittua. EV-sertifikaatit neljännesvuosittain vaihdettavissa.
📜 TLS 1.3 (RFC 8446)
Estää lähettäjän ja allekirjoittajan välisen asiakirjan kuuntelun (MITM-hyökkäys).
Salauskirjaimet (PAdES)
Certyneo on sertifioituAllekirjoitus on tehtävä PAdES-muotoon (PDF Advanced Electronic Signature) ETSI EN 319 142 mukaisesti.
📜 ETSI EN 319 142 (PAdES)
Varmista, ettei allekirjoitusta voida irrottaa ja liittää toiseen asiakirjaan.
Säästö
Certyneo on sertifioituEU LOTL:ssä rekisteröidyn pätevän viranomaisen (TSA) antaman RFC 3161 -aikaleiman integrointi.
📜 RFC 3161 + ETSI EN 319 421
Todistaa, että allekirjoitus on olemassa tiettynä hetkenä, eikä rekonstruoitu jälkikäteen.
HSM-moduuli (laitteistoturvallisuusmoduuli)
Certyneo on sertifioituYksityiset allekirjoitusavaimet tallennetaan HSM-järjestelmässä, joka on sertifioitu EAL4+ ja FIPS 140-2 tasolle 3. Avaimet eivät koskaan poistu HSM:stä tyhjin käsin.
📜 Critères Communs EAL4+ / FIPS 140-2
Se estää avaimen varastamisen, vaikka sovelluksen palvelimet olisivat vaarassa.
EIDAS-audittiketju
Certyneo on sertifioituMuutamaton login jokaisesta allekirjoituskierroksessa tapahtuneesta tapahtumasta (luominen, lähettäminen, allekirjoittaminen, sinetöinti) IP:n, aikaleiman ja identiteetin kanssa.
📜 ETSI EN 319 102-1
Se antaa täydellisen todistusaineiston, jota tuomioistuin vaatii riidan yhteydessä.
Todisteiden arkistointi
Certyneo on sertifioituAllekirjoitetun asiakirjan + jälkitarkastuksen + todistuksen varastointi vähintään 10 vuoden ajan AFNOR NF Z42-013 -järjestelmään.
📜 AFNOR NF Z42-013
Se säilyttää asiakirjan todistuksen arvoa koko siviilioikeuden määräajan kuluessa.
Neljä tärkeintä uhkaa ja niiden lieventäminen
Vahva allekirjoitusrakenne on suunniteltu kestämään neljä tavanomaista hyökkäystä.
Henkilöllisyyden väärinkäyttö "muukalainen allekirjoitti puolestani"
SMS-todistusta/ID-skannia + IP-tietopäiväkirjaa ja paikannusjärjestelmää.
Lataa 1 (tunnistus)
Muutokset asiakirjassa " allekirjoitettu sisältö on muutettu "
HSM-avaimen allekirjoittaman asiakirjan SHA-256-hakku. Jälkikäteen tehty muutos tekee hakun ja allekirjoituksen virheellisiksi.
Pinta-ala 3 & 5 (Allekirjoitus + HSM)
"Kolmas otti kiinni"
TLS 1.3 on pakollinen EV + HSTS-sertifikaatteilla, jotka on laadittu kaikkiin alueisiin.
Lataa 2 (liikenne)
"En ole koskaan allekirjoittanut / ei tällä päivämäärällä"
RFC 3161 + todisteiden arkistointi.
Siivet 4, 6 & 7 (Ajankohta + Tarkastus + Arkistointi)
Menetelmä
Seitsemän kerrosta vastaavat Certyneon tietoturvaarkkitehtuuria, joka on eIDAS-asetuksen 2014 (EU 910/2014) mukainen, ETSI EN 319 (Allekirjoitus- ja Salauskirja-sarja) -standardeja, ANSSI:n yleistä tietoturvarekisteria (GRS**) ja AFNOR NF Z42-013 -standardia todisteiden tallentamiseen.
- Enemmänkin
Salauskirjaimellisesti sinetöity sähköinen allekirjoitus
Edellä olevat 7 kerroksesta ovat käytössä oletusarvoisesti kaikissa Certyneon suunnitelmissa, myös ilmaisessa suunnitelmassa.