Siirry pääsisältöön
Certyneo
Arkkitehtuurin tietokannat

EIDAS-valmistavan sähköisen allekirjoituksen 7 suoja-asetta

Ymmärrä, mitä tapahtuu huapin alla, kun allekirjoitat asiakirjan: 7 kryptografian kerrosta, joista kukin on vertailustandardi (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, EAL4+ Common Criteria).

Turva-appiparin seitsemän kerrosta

Jotta allekirjoitus olisi eIDAS-mukainen ja vastustettavissa, kaikki seitsemän on oltava läsnä ja asianmukaisesti toteutettu.

- Ei , ei , ei .1

Allekirjoittajan tunniste

Certyneo on sertifioitu

Ennen allekirjoitusta allekirjoittaja tunnistetaan SMS-koodin, ID-skannin tai pätevän todistuksen (QES) avulla.

📜 eIDAS Annexe II §1.b

Jos allekirjoitus ei ole luotettava, se ei ole todisteellinen (siviililaki 1367).

- Ei , ei , ei .2

Liikenteen turvallisuus

Certyneo on sertifioitu

TLS 1.3 kaikilla asiakas- palvelimen viestinnöillä. Ei alennusta TLS 1.0/1.1:ään sallittua. EV-sertifikaatit neljännesvuosittain vaihdettavissa.

📜 TLS 1.3 (RFC 8446)

Estää lähettäjän ja allekirjoittajan välisen asiakirjan kuuntelun (MITM-hyökkäys).

- Ei , ei , ei .3

Salauskirjaimet (PAdES)

Certyneo on sertifioitu

Allekirjoitus on tehtävä PAdES-muotoon (PDF Advanced Electronic Signature) ETSI EN 319 142 mukaisesti.

📜 ETSI EN 319 142 (PAdES)

Varmista, ettei allekirjoitusta voida irrottaa ja liittää toiseen asiakirjaan.

- Ei , ei , ei .4

Säästö

Certyneo on sertifioitu

EU LOTL:ssä rekisteröidyn pätevän viranomaisen (TSA) antaman RFC 3161 -aikaleiman integrointi.

📜 RFC 3161 + ETSI EN 319 421

Todistaa, että allekirjoitus on olemassa tiettynä hetkenä, eikä rekonstruoitu jälkikäteen.

- Ei , ei , ei .5

HSM-moduuli (laitteistoturvallisuusmoduuli)

Certyneo on sertifioitu

Yksityiset allekirjoitusavaimet tallennetaan HSM-järjestelmässä, joka on sertifioitu EAL4+ ja FIPS 140-2 tasolle 3. Avaimet eivät koskaan poistu HSM:stä tyhjin käsin.

📜 Critères Communs EAL4+ / FIPS 140-2

Se estää avaimen varastamisen, vaikka sovelluksen palvelimet olisivat vaarassa.

- Ei , ei , ei .6

EIDAS-audittiketju

Certyneo on sertifioitu

Muutamaton login jokaisesta allekirjoituskierroksessa tapahtuneesta tapahtumasta (luominen, lähettäminen, allekirjoittaminen, sinetöinti) IP:n, aikaleiman ja identiteetin kanssa.

📜 ETSI EN 319 102-1

Se antaa täydellisen todistusaineiston, jota tuomioistuin vaatii riidan yhteydessä.

- Ei , ei , ei .7

Todisteiden arkistointi

Certyneo on sertifioitu

Allekirjoitetun asiakirjan + jälkitarkastuksen + todistuksen varastointi vähintään 10 vuoden ajan AFNOR NF Z42-013 -järjestelmään.

📜 AFNOR NF Z42-013

Se säilyttää asiakirjan todistuksen arvoa koko siviilioikeuden määräajan kuluessa.

Neljä tärkeintä uhkaa ja niiden lieventäminen

Vahva allekirjoitusrakenne on suunniteltu kestämään neljä tavanomaista hyökkäystä.

  • Henkilöllisyyden väärinkäyttö "muukalainen allekirjoitti puolestani"

    SMS-todistusta/ID-skannia + IP-tietopäiväkirjaa ja paikannusjärjestelmää.

    Lataa 1 (tunnistus)

  • Muutokset asiakirjassa " allekirjoitettu sisältö on muutettu "

    HSM-avaimen allekirjoittaman asiakirjan SHA-256-hakku. Jälkikäteen tehty muutos tekee hakun ja allekirjoituksen virheellisiksi.

    Pinta-ala 3 & 5 (Allekirjoitus + HSM)

  • "Kolmas otti kiinni"

    TLS 1.3 on pakollinen EV + HSTS-sertifikaatteilla, jotka on laadittu kaikkiin alueisiin.

    Lataa 2 (liikenne)

  • "En ole koskaan allekirjoittanut / ei tällä päivämäärällä"

    RFC 3161 + todisteiden arkistointi.

    Siivet 4, 6 & 7 (Ajankohta + Tarkastus + Arkistointi)

Menetelmä

Seitsemän kerrosta vastaavat Certyneon tietoturvaarkkitehtuuria, joka on eIDAS-asetuksen 2014 (EU 910/2014) mukainen, ETSI EN 319 (Allekirjoitus- ja Salauskirja-sarja) -standardeja, ANSSI:n yleistä tietoturvarekisteria (GRS**) ja AFNOR NF Z42-013 -standardia todisteiden tallentamiseen.

- Enemmänkin

Salauskirjaimellisesti sinetöity sähköinen allekirjoitus

Edellä olevat 7 kerroksesta ovat käytössä oletusarvoisesti kaikissa Certyneon suunnitelmissa, myös ilmaisessa suunnitelmassa.