Ir ao contido principal
Certyneo
Infografía arquitectura

As 7 capas de seguridade dunha sinatura electrónica conforme co eIDAS

Entender o que pasa debaixo do capó cando asinas un documento: 7 capas criptográficas empilhadas, cada unha co seu estándar de referencia (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Criterios Comúnes EAL4+). Sen unha soa, a sinatura non é opostable.

As sete capas da batería de seguridade

Cada capa proporciona unha garantía específica. Para que unha sinatura sexa conforme e IDAS e optable, as 7 deben estar presentes e correctamente implementadas.

- Non .1

Identificación do asinante

Certificado Certyneo

Antes de calquera sinatura, o asinante é identificado a través de código SMS, escaneo de ID ou certificado cualificado (QES).

📜 eIDAS Annexe II §1.b

Sen identificación fiable, a sinatura non ten valor probatorio (Código Civil 1367).

- Non .2

Seguridade do transporte

Certificado Certyneo

TLS 1.3 en todas as comunicacións cliente servidor. Non se permite a downgrade a TLS 1.0/1.1.

📜 TLS 1.3 (RFC 8446)

Impide a interceptación do documento entre o emisor e o asinante (ataque MITM).

- Non .3

Assinatura criptográfica (PAdES)

Certificado Certyneo

Aplicación da sinatura no formato PAdES (PDF Advanced Electronic Signature) de acordo coa ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Garantir que a sinatura non se poida separar e pegar noutro documento.

- Non .4

Estampación cualificada

Certificado Certyneo

Integrar un horario RFC 3161 emitido por unha autoridade cualificada (TSA) inscrita no EU LOTL.

📜 RFC 3161 + ETSI EN 319 421

Prueba que a sinatura existe nun momento T preciso, non reconstruída a posteriori.

- Non .5

Modulo HSM (Hardware Security Module)

Certificado Certyneo

As claves privadas de sinatura están almacenadas nun HSM certificado polos Criterios Común EAL4+ e FIPS 140-2 nivel 3.

📜 Critères Communs EAL4+ / FIPS 140-2

Impide o roubo da chave mesmo se o servidor de aplicacións está comprometido.

- Non .6

Auditoría de rastro eIDAS

Certificado Certyneo

Registro inalterable de cada evento do ciclo de sinatura (creación, envío, sinatura, sellado) con IP, horario, identidade.

📜 ETSI EN 319 102-1

Proporciona toda a evidencia que un tribunal solicite en caso de litixio.

- Non .7

Arquivo de probas

Certificado Certyneo

Almacenamento do documento asinado + audit trail + certificado durante un mínimo de 10 anos nun sistema conforme AFNOR NF Z42-013.

📜 AFNOR NF Z42-013

Conserva o valor probatorio do documento durante todo o período de prescripción civil.

As catro principais ameazas e a súa mitigación

Unha arquitectura de firma sólida está deseñada para resistir a catro ataques clásicos.

  • Usurpación de identidade "outro asinou no meu lugar"

    Autenticación por SMS / escaneo de ID + IP log e localización xeográfica.

    Lado 1 (Identificación)

  • Alteración do documento "o contido asinado foi modificado"

    Hash SHA-256 do documento asinado pola clave HSM. Calquera modificación posterior invalidará o hash e a sinatura.

    Camas 3 e 5 (sinatura + HSM)

  • O home no medio "un terceiro interceptou"

    TLS 1.3 obrigatorio con certificados EV + HSTS precargados en todos os ámbitos.

    Lado 2 (Transporte)

  • Repudio "nunca asinou / non nesta data"

    Auditoría de rastro inmutable + horario cualificado RFC 3161 + arquivo probatorio AFNOR.

    Camas 4, 6 e 7 (Cadro de tempo + Auditoría + Arquivo)

Metodoloxía

As 7 capas descritas corresponden á arquitectura de seguridade Certyneo, conforme ao Regulamento eIDAS de 2014 (UE 910/2014), ás normas ETSI EN 319 (Signatura e Cachetes), ao Repertorio Xeral de Seguridade (RGS**) da ANSSI e á norma AFNOR NF Z42-013 para o arquivo de probas.

Para ir máis lonxe

Unha sinatura electrónica cifradamente selada

As 7 capas anteriores están implementadas por defecto en todos os plans Certyneo, incluído o plan gratuíto.