7 שכבות אבטחה של חתימה אלקטרונית תואמת eIDAS
להבין מה קורה מתחת למכסה כאשר אתה חותם על מסמך: 7 שכבות קריפטוגרפיות מצטברות, כל אחת עם סטנדרט ההשוואה שלה (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, קריטריונים משותפים EAL4+).
שבעת שכבות הסוללה הבטוחה
כל שכבה מספקת ערבות ספציפית. כדי שהחתום יהיה תואם eIDAS וניתן לחלוק עליו, כל 7 חייבים להיות נוכחים ולהתקיים כראוי. Certyneo מוסמך על כל אחת מהן.
זיהוי של החותם
Certyneo מוכרלפני כל חתימה, החותם מזוהה באמצעות קוד SMS, סריקה של תעודת זהות, או תעודת מיומנות (QES).
📜 eIDAS Annexe II §1.b
ללא זיהוי אמין, החתימה אינה בעלת ערך ראוי (הקוד האזרחי 1367).
בטיחות תחבורה
Certyneo מוכרTLS 1.3 על כל תקשורת לקוח שרת. אין הורדה ל- TLS 1.0/1.1 מורשה. תעודות EV עם סיבוב רבעוני.
📜 TLS 1.3 (RFC 8446)
מונע מעקב אחר המסמך בין המשלוח והחתום (מתקפת MITM).
חתימת קריפטוגרפיה (PAdES)
Certyneo מוכרחתימה בפורמט PAdES (PDF Advanced Electronic Signature) לפי ETSI EN 319 142. חתימה קשורה לדוקומנט, לא למעטפת חיצונית.
📜 ETSI EN 319 142 (PAdES)
מבטיח שהחתום לא יכול להיות מנותק ומוסמך על מסמך אחר.
חותמת זמן מוכשרת
Certyneo מוכרשילוב של פסיכומטרי RFC 3161 של רשות מוסמכת רשומה על ה- EU LOTL. דיוק למילס'
📜 RFC 3161 + ETSI EN 319 421
מוכיח שהתיעוד קיים ברגע T, לא נבנה אח"כ.
מודול HSM (מודל אבטחת חומרה)
Certyneo מוכרהמפתחות הפרטיים לחתימה מאוחסנים ב-HSM מוסמך על פי קווי EAL4+ ו-FIPS 140-2 ברמה 3. המפתחות לעולם לא יוצאים מה-HSM ריקים.
📜 Critères Communs EAL4+ / FIPS 140-2
מונע גניבת מפתח גם אם שרת היישומים פוגע.
אודיט טרייל eIDAS
Certyneo מוכריומן בלתי משתנה של כל אירוע במחזור החתימה (יצירה, שליחת, חתימה, חותמת) עם IP, חותמת זמן, זהות.
📜 ETSI EN 319 102-1
מספק ראיות מלאות, כמו שבית משפט דורש במקרה של מחלוקת.
ארכיון ראיות
Certyneo מוכראחסון של המסמך החתום + אודיט טרייל + תעודה במשך 10 שנים לפחות במערכת תואמת AFNOR NF Z42-013.
📜 AFNOR NF Z42-013
הוא שומר על עוצמת הראיה של המסמך לאורך כל תקופת ההגבלה האזרחית.
ארבעת האיומים העיקריים וההפחתתם
אדריכלות חתימה חזקה תוכננה לעמוד בפני 4 התקפות קלאסיות. הנה מהן, ואיזה שכבה מנטרלת אותן.
שחיתות אישיות "מישהו אחר חתם במקומי"
אימות SMS / סריקה של ID + יומן IP וגיאוגרפיה. עבור מעשים בסכנה, תעודת QES המונחת על ידי PSCO מוסמך.
שכבה 1 (הזיהוי)
שינוי במסמך "התוכן החתום השתנה"
השיא SHA-256 של המסמך שנחתם על ידי מפתח HSM. כל שינוי אחר לא יאפשר את השיא והחתמה.
שכבות 3 & 5 (חתום + HSM)
"אחד-שלוש חטף".
TLS 1.3 חובה עם תעודות EV + HSTS מראש בכל התחומים.
שכבה 2 (תובלה)
דחייה "מעולם לא חתמתי / לא על תאריך זה"
אודיט מסלול בלתי משתנה + סימן זמן RFC 3161 מיומן + ארכיון ראיות AFNOR.
שכבות 4, 6 & 7 (הדוחף + בדיקה + ארכיון)
שיטה
7 השכבות המתוארות מתאימות לארכיטקטורת האבטחה Certyneo, בהתאם לרגולציה eIDAS 2014 (EU 910/2014), סטנדרטים ETSI EN 319 (סדרת חתימה וסימפטים), רפרנציאל הביטחון הכללי (RGS**) של ANSSI, והסטנדרט AFNOR NF Z42-013 לרישום ראיות. כל שכבה מוודקת מדי שנה על ידי צד שלישי עצמאי.
כדי להמשיך הלאה.
חתימה אלקטרונית עם חותמת קריפטוגרפית
7 השכבות לעיל מיושמות כברירת מחדל בכל תוכניות Certyneo, כולל התוכנית החופשית.