署名者認証: 方法と問題点
電子署名を使用して署名者を認証する方法: 方法、レベル、リスク、ベスト プラクティス。
更新日
Certyneo チーム
ライター — Certyneo · Certyneo について
認証が重要な理由
署名者の認証は、最も弱いリンク証拠の連鎖の。それがなければ、誰が実際に署名したかを証明することは不可能です。最新の署名プラットフォームは、いくつかの段階的なメカニズムを提供する必要があります。
利用可能な方法
信頼できる電子メール
署名者は、電子メール アドレスへの一意のリンクを受け取ります。ボックスホルダーのみがクリックできます。シンプルでSESに効果的。
残留リスク: 電子メールアカウントの盗難。リスクの低い文書に使用できます。
SMS経由のOTP
電話番号に送信されるワンタイム コード。電子メールとの組み合わせ = AES。
残留リスク: SIM スワッピング (まれですが、高額なターゲットで知られています)。
アプリごとの OTP
アプリ (Google Authenticator、Authy、Twilio Authy) によって生成されたコード。一か八かの場合は SMS よりも安全です。
生体認証
指紋、顔認証。エクスペリエンスを合理化するためにモバイルで使用されます。サーバー側には保存されません (GDPR 準拠)。
個人証明書
QTSP によって発行され、デバイス (YubiKey、スマート カード) に保存されている暗号化証明書。 QES では必須。
ビデオKYC
ビデオ会議または録画による本人確認。規制部門 (銀行、保険) に使用されます。
国家デジタルアイデンティティ
FranceConnect+、itsme (ベルギー)、SPID (イタリア)。 eIDASにより「相当」レベルと認められる。
保証レベル (LoA)
eIDAS は 3 つのレベルを定義します。
レベル |要件 |例
低い |電子メールまたは同等のもの |彼の
かなり |ダブルファクター | AES (電子メール + OTP)
高 |厳格な本人確認 | QES、ビデオKYC
問題との整合性
- 内部文書、発注書:低LoA(SES)で十分
- 雇用契約、リース、NDA: 大幅な LoA (AES)
- 公正証書、公設市場: 高 LoA (QES)
よくあるエラー
- すべてに SES を使用する (サイズが小さい)
- 不必要に認証を重ねる(摩擦)
- 使用された方法を記録しない (証拠が弱くなる)
- 過剰な生体認証データの収集 (GDPR)
攻撃からの保護
- フィッシング: 送信者を検証するために署名者を訓練します
- 中間者: TLS 1.3が必要です
- SIM交換: 非常に高い賭け金のためのアプリによる OTP
- ディープフェイクビデオのKYC: 生存チェック + クロスチェック
具体例:ネオバンク
口座開設プロセス:
- 信頼できる電子メール
- OTP SMS
- 本人確認書類をアップロードする
- 生存テスト(セルフィー)
- 制裁根拠の照合
- AES署名
LoA: 相当な量。 ACPR準拠。 10分以内に処理します。
Certyneo がどのように役立つか
Certyneo は、電子メール、OTP SMS (Twilio Verify 経由)、QES 用の認定証明書の統合、オプションのビデオ KYC、FranceConnect+ 統合など、すべての一般的なメカニズムを提供します。各メソッドは監査証跡に記録されます。
FAQ
SMS は十分安全ですか?
AES の場合は、はい。非常に大きな賭けをする場合は、OTP アプリまたは生体認証をお勧めします。
生体認証は保存されますか?
サーバー側はいいえ (GDPR 準拠)。テンプレートはデバイス上に残ります。
いくつかの方法を組み合わせることはできますか?
はい、証拠を強化するためです。
FranceConnect+ は認識されていますか?
はい、かなりのレベルです。 AES および QES をトリガーできます。
OTP の有効期限が切れたらどうなりますか?
署名者は新しい署名をリクエストできます。ブルートフォース防止制限が設定されています。
結論
優れた認証は、等級付けされ、追跡され、問題に適応されます。過剰な認証は摩擦を生み出します。認証が不十分だと証拠が弱くなります。残高は文書ごとに見つかります。
Certyneo を試して、オンラインで簡単、迅速、安全にドキュメントを送信、署名、追跡します。