Daingniú do dhreachta sínithe le criptiriú TLS

Cén fáth go bhfuil criptiriú TLS riachtanach do do dhreachta sínithe

In 2026, níl daingniú dhreachta sínithe go leictreonach ina rogha níos mó: is oibleagáid dlíthiúil agus straitéiseach a thí ann do gach gnó ag feidhmiú san spás digiteach Eorpach. Feidhmíonn criptiriú TLS (Transport Layer Security) mar an chloch dhúinn den tsaobh seo den chosaint, agus cuirtear i ngeall go bhfanann sonraí a tharchuirtear idir cliant agus freastalaí faoi choirnéal, slán, agus fíoraithe. De réir an ANSSI, dhíraithníonn níos mó ná 74 faoin gcéad de na hionsaithe sibéir doiciméadaithe in Éirinn ar shreabhaí sonraí nach bhfuil criptithe nó atá ró-éasca a chosaint. Sa timpeallacht seo, tá sé ina chúis oscailte agus thábhachtach tuiscint a fháil ar conas do dhreachta sínithe a dhéanamh slán le criptiriú TLS, HTTPS agus laistigh d'fhráma an rialacháin eIDAS. Is tuarascáil dhíobhálach a thí sé do na DSI, dlíodóirí agus freagraithe comhréireachta in ghnóithe Francacha agus Eorpacha.

Fionnachtain a dhéanann an t-alt seo ar na meicníochtaí teicniúla TLS, ar a chomhghaol le síniú leictreonach arna gcháilíochtú, ar na riachtanais reachtúla a aithinneadh ar phlatfhormanna SaaS, agus ar na dea-chleachtais chun a chur i bhfeidhm anois chun do shócmhainní doiciméadúla a chosaint.

---

Tuigint ar chriptiriú TLS agus a ról i síniú leictreonach

TLS 1.3 : an caighdeán reatha chun malartú slán a dhéanamh

Is é an prótacal TLS (Transport Layer Security) an leagan feabhsaithe den SSL (Secure Sockets Layer), atá as feidhm anois. Foilsíodh an leagan TLS 1.3 in 2018 ag an IETF (RFC 8446), agus is í an bhunviséalra anois do gach malartú sonraí slán. Dhíbirt sí roinnt leochaileachtaí criticiúla dá réamhtheachtaí, go háirithe ar ionsaithe BEAST, POODLE agus DROWN, agus bhraistí sí an fhailí nasctha trí dheasachadh ar rath amháin.

Go nithiúil, cuirtear i ngeall ar TLS 1.3:

• An rúndacht : tá na sonraí a tharchuirtear criptithe go fóill, rud a chiallaíonn nach bhfuil aon tairbhe as a ghabháil faoi choinníollacha.
• An integrité : déantar aon teachtaireacht a bhí tionscnamh i láthair an ghluaiseachtais a bhrath gan bhratú.
• An fíorú : deimhnítear an freastalaí (agus b'fhéidir an cliant) trí theastas X.509.

Do phlaitfhorm de síniú leictreonach comhréireach eIDAS, is gá go ndéanfar TLS 1.3 go hiomlán a úsáid — nó ar a laghad TLS 1.2 le sraitheanna cripticiúla a raibh aontú ag an ANSSI air — ina riachtanas bhunúsach. Tá an úsáid ar TLS 1.0 nó 1.1 ar an dóigh gheal díshealbhaithe ag moladh an ENISA ó 2022.

HTTPS : an sraith infheidhme ar chriptiriú TLS

Níl HTTP os cionn nascadh TLS ach a bhreith ar fhórsaí HTTPS. Do na húsáideoirí, an bheartán infheidhmithe sa bharra an bhrabhsálaí ar bhreithniú ar an fhís go bhfuil an chúrsa cumarsáide criptithe. Do na ghnóithe, is é seo a chiallaíonn gur bhreathnaíonn na dreachta a bhí a shíniú, a shíniú nó a roinnt ag taisteal ar bhealach slán idir brabhsálaí an úsáideora agus freastalaí an phlaitfhirm.

Fós is ea, níl aon bhaol ag HTTPS faoin spiorad an dreachta ag foluain (is é sin, nuair a bhí sé stóráilte ar an fhreastalaí). Sin an fáth gur ghá go mbeidh criptiriú TLS leagtha os cionn agus criptiriú na sonraí ar foluain (AES-256 mar shampla) agus meicníochtaí rialúcháin rochtana láidir. Laistigh d'fhráma an threoir iomlán ar síniú leictreonach, baineann na sraitheanna cosaint bhreise seo le tacar comhchuí.

Deimhnithe TLS agus slabhra iontaobhais

Eisíonn Údarás Deimhnithe (CA) aithnite é deimhníu TLS. Tá an eochair phoiblí an fhreastalaí, aitheantóir an eagraíochta, agus é sínithe go digiteach ag an CA. Cuirtear i ngeall ar an slabhra iontaobhais — ó dhara dhreachta go deimhnithe idirbheartacha — gur le heintiteas sin ar bharr a ghloine tú ag teagmháil.

Do na soláthraithe seirbhísí iontaoibhis (PSCo) i gcrích an rialacháin eIDAS, chaithfidh na deimhnithe TLS a úsáidtear a bheith comhréireach leis na próifílí atá sainithe ag na caighdeáin ETSI EN 319 411, go háirithe do na deimhnithe a úsáidtear i síniú agus fíorú.

---

Criptiriú TLS agus comhréire eIDAS : an rud a deir an rialacháin

Na leibhéal síniú eIDAS agus a gcuid riachtanas slándála

Sainitheamh an rialacháin eIDAS Uimh. 910/2014, arna fhreagrú ag eIDAS 2.0 agus a bhíonn á sholáthar, trí bhealach d'síniú leictreonach: simplí, foluain agus cáilíochtach. Is é gach leibhéal go gcaithfidh sé a bheith ann i ngarantúit slándála a mhéid agus méid agus a thríocha:

• Síniú simplí : níl aon chaighdeán teicniúil a bhí á bhunú, ach bhíonn criptiriú TLS go huachtar a shamhlú don bhreabadh.
• Síniú foluain : gá don phlaitfhorm a bheith i ngeall ar an cheart an doiciméad agus ar leithleog an nasc idir an síniú agus an sínitheoir. Beidh TLS 1.3 beagnach ina riachtanas do na sreabhaí.
• Síniú cáilíochtach : gá don phrásileáideoir a bheith ina PSCo cáilíochtach a bhí ar chlár an iontaobhais (Trust List) a Stáit a bhail. Sainítear na riachtanais chripticiúla ag na caighdeáin ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) agus EN 319 142 (PAdES). Caithfidh criptiriú na gcúrsaí cumarsáide a bheith i gcomhréir le moladh an ANSSI nó an ENISA.

Do na ghnóithe a bhí ag iarraidh bheith ag déanamh comparáide ar na réitigh síniú leictreonach, is critéar roghnaithe domhain an leibhéal slándála na socrú TLS, go minic faoi spréacharnach.

An cuidiú a dhéanann eIDAS 2.0 ar an chosaint na socrú

Cuirtear i bhfeidhm an rialacháin eIDAS 2.0, ar a fhillte an iontaoibh scéimh ar thréimhse a dhéanann suas go dtí 2026-2027, an sparán aitheantais dhigitigh Eorpach (EUDIW) agus dúbail an riachtanais ar na soláthraithe seirbhísí iontaobhis. Cuirtear i ngeall sé ar leith:

• Iniúchtálacha slándála comhréireach le caighdeáin EN ISO/IEC 27001 agus ar riachtanais ar leith an ENISA.
• Trédhearcacht méadaithe ar na meicníochtaí cripticiúla a bhí úsáidte.
• An fhoilsiú ar bheartas slándála iniúchta ag na húdaráis bhailí náisiúnta.

Is é an fhianaise de na feabhasuithe sin go gcaithfidh gnóithe agus platfhormanna síniú a úsáid agus a chinntiú go bhfuil a bprásileáideoir ag cothabháil infreastrúchúir TLS a bhí nuashonraithe agus iniúchta. Tá sé seo ar dhíreach an rud a bhí i ngeall ag Certyneo i a infreastrúchúr, le iniúchtálacha slándála rialta agus comhréireachta ar bharúilíochtaí an ANSSI.

---

Cleachtais on cheart a dhéanamh slán do do dhreachta sínithe san fhiontar

Iniúchadh ar do infreastrúchúr TLS reatha

Sula bpríom nó gluaiseacht go réitigh síniú leictreonach slán, tá iniúchadh ar TLS ina riachtanas. Is féidir le huirlisí ar nós SSL Labs (Qualys) nó testssl.sh an tréimhse TLS ar do phlaitfhorm reatha agus a bhreith ar na leochaileachtaí a bhí: sraitheanna cripticiúla caite, deimhnithe as dáta, drochbhainistiú ar HSTS (HTTP Strict Transport Security), easpa Certificate Transparency (CT logs).

Is iad na pointí rialúcháin dhíobhálach:

• Úsáid dhíreach ar TLS 1.2 nó 1.3 (díchumasú ar SSLv3, TLS 1.0 agus 1.1).
• Sraitheanna cripticiúla moladh: ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256.
• HSTS gníomhachtaithe le gealadh íosmhéid de 6 mhí agus rogha `includeSubDomains`.
• OCSP Stapling gníomhachtaithe chun aisghairm tapa na ndeimhnithe.
• Perfect Forward Secrecy (PFS) gníomhachtaithe chun an tionchar a laghdú ar fhaillí ar eochair.

Criptiriú ar foluain agus i láthair an ghluaiseachtais : gabhair chomhsheasmhach

Cosnaíonn criptiriú TLS na sonraí agus iad i láthair an ghluaiseachtais. Ach gá don fhéinstraitéis slándála doiciméadúla iomláine a cumhdach ar an nós. Do na dreachta sínithe, is é seo a chiallaíonn:

• Criptiriú AES-256 de na fhaid stóráilte i mbunshamhailíochtaí sonraí nó ar na córais fhaid.
• Bainistiú ar na heochracha criptirithe trí HSM (Hardware Security Module) nó seirbhís KMS (Key Management Service) fíoraithe FIPS 140-2.
• Deighilt na timpeallachta : ní dhéanann na sonraí táirgeachta a bheith i neart leis na timpeallachta forbartha nó thástála.
• Logáil shlán : gá gach rochtain ar dhreath a bheith logáilte ar bhealach nach féidir a athrú, i gcomhréir le moladh RGPD.

Do na ghnóithe ag bainistiú líon ard de dhreachta, an áireamhán ROI Certyneo ar nós a leagan amach ag bhreitheamhnacht ar an tionchar airgeadais ar shlándú fhearr versus na costas ar bharadh na sonraí.

Oiliúint agus rialachas doiciméadúla

Ní leor an teicneolaíocht i bhfeadh chuir. Is iad trí dhúilí a bhí an fhoinseolaíochta a bhí.

1. Oiliúint na gcomhghleacaithe : mothúchán ar riosca phishing, ar roinnt neamhshlán na ndreachta, agus ar dhea-chleachtais bhainistiú an rochtana.
2. Rialachas an rochtana : prionsabal an líon is lú ar phríobhléideach, fíorú iomlánach-fhachtóir (MFA) chun a bheith ar phlaitfhormanna síniú, athbhreithniú rialta ar dhroichid rochtana.
3. Bainistiú ar na timpearálta : sainmhíniú ar phlean freagairt ar ghach timpearálta a bhí i ndreachta sínithe gur bhí siad gortaithe, i gcomhréir le hoibleagáidí fógra faoin RGPD (72 uair an chloig) agus NIS2.

Is iad na foireann HR agus dlíochúnacha, ag déileáil leis na dreachta is mothúchána, an chéad bhabhta a bhí a bhí ann. Is féidir le réitigh ar leith cosúil leis an síniú leictreonach do HR nó do dhálchomhlachtaí dlí a bheith gníomhachtaithe gur dhúisigh ar bhealach nádúrtha na sraitheanna cosaint seo.

---

Treoir NIS2 agus slándála na bplaitfhormanna SaaS síniú

An rud a bhí i ngeall ag NIS2 ar na ghnóithe a bhí úsáid

Leathnaíonn an treoir NIS2 (Network and Information Security 2), arna thíolacadh i ndlí na Fraince ag an dlí ó Iúil 26, 2023, agus iniúchóirt ó Dheireadh Fómhair 2024, an gealadh ar na heintiteas ar a bhí an oibleagáid chybersecurity. Anois, gá do na ghnóithe ar dheis meánmhéid i bhfeadh tábhachtach (sláinte, airgeadas, fuinnimh, riarachán) a bheith cinnte go bhfuil a bprásileáideoir SaaS ag géilleadh do na cáighdeáin slándála ard.

Go conúlach, is gá NIS2 a bheith ann:

• Measúnú ar an tsláinte ar an slabhra soláthar a bhí digiteach, lena n-áirítear na platfhormanna SaaS síniú.
• Gealadh ar chonradh ar na ráthuithe slándála ar a bhí príosúnaigh (SLA sláinte, fíorú ISO 27001, tuairiscí iniúchadh).
• Fógra don ANSSI i gcás timpearálta shuntasach ag gealadh ar na seirbhísí digiteach tábhachtach.

Roghnú ag soláthraitheoir a bhí síniú leictreonach comhréireach NIS2

Do na ghnóithe a bhí faoi bhagairt NIS2, ní féidir roghnú ar phlaitfhorm síniú a bheith teoranta ar an mhéid gniomhairí feidhme. Gá na critéir slándála a bheith ann i bhforais: an leagan TLS a bhí ar tacaíochtaí, ar bheartas bainistiú na heochracha, ar ionad na sonraí (an ndéanfaí an Aontas Eorpach is fearr), agus ar chumas a soláthar ar thuairiscí iniúchadh ar iarraidh.

Stóráil Certyneo ar an iomlán a bhí ar na sonraí a gcomhghleacaithe i bhfocláin dhata a bhí fíoraithe ISO 27001 ar bharúilíochtaí sa Fhrainc, le criptiriú TLS 1.3 ar gach socrú agus AES-256 do na sonraí ar foluain. Do na ghnóithe ag machnamh ar a athrú ó DocuSign nó YouSign, ba dhóchúil an comhréireacht NIS2 a bheith ar an bhealach thosú príomh ar an ghluaiseacht athrú.

Creatlach dlíthiúil ar a bhí ann do shlándú ar dhreachta sínithe

Tá an tsláinte ar na dreachta leictreonach sínithe ag cealú i dtacar téacsanna normaithe ar a bhfuil an mothúchán ina riachtanas do gach gnó agus a bhí ag cur isteach go comhréireach in 2026.

An Chódex sibhialta Francach : alt 1366 agus 1367

Cuirtear i bhfeidhm an t-alt 1366 ar an Chódex sibhialta an prionsabal ginearálta ar an chothromaíochta idir an scriobh leictreonach agus an scriobh páipéir, ar choinníoll go bhfuil an duine ar a bhforleath sé go hiomlán aithnite agus go bhfuil an dreath bunaithe agus caomhnaithe faoi choinníollacha atá ann chun a dhícheall a bhunú. Sainmhíniú an alt 1367 ar an síniú leictreonach mar an úsáid ar chóir inneall de iontaobhas ar dhícheall a gealadh ar a phróiseas bainisteoireacht an doiciméid. Cuirtear i gceist ag criptiriú TLS go díreach ar an gealadh seo ar dhícheall i láthair an ghluaiseachtais.

Rialacháin eIDAS Uimh. 910/2014 agus eIDAS 2.0

Tá an rialacháin eIDAS Uimh. 910/2014 ag an Pharlaimint Eorpach agus ag an Chomhairle bunús an rialacháin síniú leictreonach in Éirinn. Sainníonn sé na trí leibhéal síniú (simplí, foluain, cáilíochtach) agus na riachtanais ar fheidhmitheoir na seirbhísí iontaobhis cáilíochtach (PSCo). Sonraítear na ceangail I go IV an rialacháin na riachtanais theicniúla do na deimhnithe cáilíochtach. Sonraítear na caighdeáin ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) agus EN 319 142 (PAdES) na formáidí síniú inghlactha. Leathnaíonn eIDAS 2.0, ag feidhmiú ar an bhealach, na riachtanais le tosú ar an sparán aitheantais dhigitigh Eorpach (EUDIW) agus ar oibleagáidí fhéadta ar phríobhléide sibhialta do PSCo.

RGPD Uimh. 2016/679

Cuirtear i bhfeidhm an Rialacháin Ginearálta ar an chosaint sonraí pearsanta ar na ghnóithe a ghealadh go leor ar bheartas a bhí teicniúil agus eagraíochtúil chun slándála an doiciméid pearsanta a bhunú (alt 32). Gá na dreachta sínithe ag gabhail do na sonraí pearsanta a bheith criptithe i láthair an ghluaiseachtais (trí TLS) agus ar foluain (trí AES-256 nó ionanna). I gcás briste sonraí, gá fógra don CNIL agus do na daoine bhaineann a bheith ann taobh istigh d'alt 72 (alt 33). An CNIL a bhreithniú ar chriptiriú mar bheartas bhunúsacha a bhí a bhraistí de gach duine freagrach ar a dhéanamh.

Treoir NIS2 (2022/2555/UE)

Arna tíolacadh sa Fhrainc ó Dheireadh Fómhair 2024, an treoir NIS2 ar a bhí ann ar na heintiteas ríthábhachtach agus tábhachtach na hoibleagáidí cybersecurity a bhí feabhasaithe. Tá sé ar bharúilíochtaí go soiléir ar an chosaint ar na chúrsaí cumarsáide (lena n-áirítear TLS), ar bhainistiú na n-imthimcheal, agus ar chosaint ar an slabhra soláthar a bhí digiteach. Is féidir le na soláthraithe SaaS síniú leictreonach a bheith ní ionann agus a bhí soláthraithe tábhachtach do a gcomhghleacaithe a bhí faoi bhagairt NIS2.

Creatlach ANSSI agus caighdeáin ETSI

Foilsíonn an ANSSI ar mholadh ar na paraiméadair chripticiúla (treoir ANSSI-PB-078) a bhreithniú ar na halgartaim agus a bhí ar fhaid ar heochracha inghlactha. Do TLS, molaann an ANSSI TLS 1.3 ar dhiad tosaigh, TLS 1.2 le sraitheanna cripticiúla go hiomlán sainmhínithe, agus a raibh ar fhoirm SSLv3, TLS 1.0 agus TLS 1.1. Cuirtear na moladh sin i gcrích fos ar na córais fhaisnéise mothúchána agus tá siad gníomhachtaithe sa na critéir measúnú ar na soláthraithe cáilíochtach eIDAS.

Staid an úsáid : slándú TLS i gcomhthéacs fíor

Staid 1 : Cabinetd dhlí agus a bhí ag déileáil ar na gníomh faoi síniú pearsanta dematérialísaithe

Tá cabinetd dhlí agus a bhí grúpáilte ar a bhí timpeall ar fhichid a gcomhghleacaithe agus a bhí ag déileáil gach míosa ar réimse de mhanndáil, ar bheartaí comhaontaithe agus ar ar choinbhéarsa isiociondáil. Roimh an athrú ar an réitigh síniú comhréireach eIDAS le TLS 1.3, a bhí na dreachta agus malartú a bhí ag eamáil neamhchriptithe, agus a raibh an cabinetd agus an tóraigí bháismhí agus ar easpa barúlacha an chréimh na ngnímh.

I ndiaidh imshreasair ar phlaitfhorm SaaS ina bheith ag gníomhachtú TLS 1.3 agus criptiriú AES-256 ar foluain, ceangalaithe ar fhíorú iomlánach-fhachtóir do na sínitheoir, rinne an cabinetd a bhí gnímh ar an phlé 68 % (ó 4.2 lá ar mheán go 1.3 lá) agus a bhí díchumasú ar na timpearálta a bhí ag gabhail do na socrú neamhshlán a bhí doiciméadúla. Tá gach céim ar an phróiseas síniú a bhí ag ciallú gan ionannas agus ag foluain anois mar bharúil imdhíofa i gcás díobhála.

Staid 2 : PME ghnó forbartha agus a bhí ag déileáil ar a chonarthaí soláthraithe

A bhí ag PME de ghnó an tSector dhéantúsachta agus ag déileáil ar dhlí 300 chonarthaí soláthraithe ar bhliana agus a bhí tuaidh ar fhadhb ar dhispéirs doiciméadúla : a bhí ag síniú ar fháltas láimhe agus ag stóráil ar na freastalaí inmheánach gan chriptiriú, agus a bhí ar dheis an fhiontar a bhí ar gan aon rialúchán. Rinne iniúchadh ar an tsláinte a bhí ar lorg ar an réamh-cheadú a bhí ag ISO 27001 agus a bhí ar léiriú ar an ghur 40 % ar na dreachta chonarthaí a bhí gan chriptiriú ar foluain.

Ghluaiseacht chun réitigh SaaS síniú leictreonach le criptiriú TLS 1.3 i láthair an ghluaiseachtais agus AES-256 ar foluain, ceangalaithe ar bheartas rialúcháin ar bhealach bunaithe ar na róil, ar an deis a bhí ar fhoirceann na leochaileachtaí. Tá an aisghabháil a bhí ag measúnú ar bheirlín an riosca ag foluain doiciméadúla, agus ag measúnú ar na modhanna ríomh an NIST, ar rá na milliún euro ar bhliana i riosca iarraigh. A bhí ar an lag síniú ar an chonarthaí soláthraithe a bhí lag ó 5 lá go níos lú ná 24 uair an chloig ar mheán.

Staid 3 : Grúpáil de chlinicí pearsanta agus an comhréireacht RGPD/NIS2

Grúpáil de chlinicí pearsanta agus a bhí ag gabhail ar dhlí 600 agus a bhí ar bharúilíochtaí ar bharúilíochtaí ar dhlí agus ag déileáil air an ghair ar chonarthaí oibre, ar ar fhórmáidí dúil ar an tsláinte agus ar an ghaoll ar chomhaontaithe a bhí slán. An gné sláinte a bhí i ngeall ar an tábhacht ar eintiteas ar a bhí faoi bhagairt NIS2, agus a bhí na riachtanais ar chosaint ar a bhí ar na chúrsaí ar an díreach a bhí go hcríoch.

Ag glacadh le réitigh ar síniú leictreonach ar an tsláinte agus ag gníomhachtú ar TLS 1.3, ar HSM do bhainistiú ar na heochracha síniú, agus ar logáil inathraithe ar gach rochtain doiciméadúla ar an nós grúpáil a bheith ar an deis a freastal ar na riachtanais iniúchadh NIS2 agus