As 7 capas de seguridade dunha sinatura electrónica conforme co eIDAS
Entender o que pasa debaixo do capó cando asinas un documento: 7 capas criptográficas empilhadas, cada unha co seu estándar de referencia (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Criterios Comúnes EAL4+). Sen unha soa, a sinatura non é opostable.
As sete capas da batería de seguridade
Cada capa proporciona unha garantía específica. Para que unha sinatura sexa conforme e IDAS e optable, as 7 deben estar presentes e correctamente implementadas.
Identificación do asinante
Certificado CertyneoAntes de calquera sinatura, o asinante é identificado a través de código SMS, escaneo de ID ou certificado cualificado (QES).
📜 eIDAS Annexe II §1.b
Sen identificación fiable, a sinatura non ten valor probatorio (Código Civil 1367).
Seguridade do transporte
Certificado CertyneoTLS 1.3 en todas as comunicacións cliente servidor. Non se permite a downgrade a TLS 1.0/1.1.
📜 TLS 1.3 (RFC 8446)
Impide a interceptación do documento entre o emisor e o asinante (ataque MITM).
Assinatura criptográfica (PAdES)
Certificado CertyneoAplicación da sinatura no formato PAdES (PDF Advanced Electronic Signature) de acordo coa ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Garantir que a sinatura non se poida separar e pegar noutro documento.
Estampación cualificada
Certificado CertyneoIntegrar un horario RFC 3161 emitido por unha autoridade cualificada (TSA) inscrita no EU LOTL.
📜 RFC 3161 + ETSI EN 319 421
Prueba que a sinatura existe nun momento T preciso, non reconstruída a posteriori.
Modulo HSM (Hardware Security Module)
Certificado CertyneoAs claves privadas de sinatura están almacenadas nun HSM certificado polos Criterios Común EAL4+ e FIPS 140-2 nivel 3.
📜 Critères Communs EAL4+ / FIPS 140-2
Impide o roubo da chave mesmo se o servidor de aplicacións está comprometido.
Auditoría de rastro eIDAS
Certificado CertyneoRegistro inalterable de cada evento do ciclo de sinatura (creación, envío, sinatura, sellado) con IP, horario, identidade.
📜 ETSI EN 319 102-1
Proporciona toda a evidencia que un tribunal solicite en caso de litixio.
Arquivo de probas
Certificado CertyneoAlmacenamento do documento asinado + audit trail + certificado durante un mínimo de 10 anos nun sistema conforme AFNOR NF Z42-013.
📜 AFNOR NF Z42-013
Conserva o valor probatorio do documento durante todo o período de prescripción civil.
As catro principais ameazas e a súa mitigación
Unha arquitectura de firma sólida está deseñada para resistir a catro ataques clásicos.
Usurpación de identidade "outro asinou no meu lugar"
Autenticación por SMS / escaneo de ID + IP log e localización xeográfica.
Lado 1 (Identificación)
Alteración do documento "o contido asinado foi modificado"
Hash SHA-256 do documento asinado pola clave HSM. Calquera modificación posterior invalidará o hash e a sinatura.
Camas 3 e 5 (sinatura + HSM)
O home no medio "un terceiro interceptou"
TLS 1.3 obrigatorio con certificados EV + HSTS precargados en todos os ámbitos.
Lado 2 (Transporte)
Repudio "nunca asinou / non nesta data"
Auditoría de rastro inmutable + horario cualificado RFC 3161 + arquivo probatorio AFNOR.
Camas 4, 6 e 7 (Cadro de tempo + Auditoría + Arquivo)
Metodoloxía
As 7 capas descritas corresponden á arquitectura de seguridade Certyneo, conforme ao Regulamento eIDAS de 2014 (UE 910/2014), ás normas ETSI EN 319 (Signatura e Cachetes), ao Repertorio Xeral de Seguridade (RGS**) da ANSSI e á norma AFNOR NF Z42-013 para o arquivo de probas.
Para ir máis lonxe
Unha sinatura electrónica cifradamente selada
As 7 capas anteriores están implementadas por defecto en todos os plans Certyneo, incluído o plan gratuíto.