서명자 인증: 방법 및 문제
전자 서명을 사용하여 서명자를 인증하는 방법: 방법, 수준, 위험 및 모범 사례.
업데이트일
Certyneo 팀
작성자 — Certyneo · Certyneo 소개
인증이 중요한 이유
서명자의 인증은가장 약한 고리증거 사슬의. 그렇지 않으면 누가 실제로 서명했는지 증명하는 것이 불가능합니다. 현대 서명 플랫폼은 여러 단계의 메커니즘을 제공해야 합니다.
사용 가능한 방법
신뢰할 수 있는 이메일
서명자는 자신의 이메일 주소에 대한 고유 링크를 받습니다. 상자 홀더만 클릭할 수 있습니다. 간단하고 SES에 효과적입니다.
잔여 위험: 이메일 계정 도용. 위험도가 낮은 문서에 허용됩니다.
SMS를 통한 OTP
일회성 코드가 전화번호로 전송됩니다. 이메일과 결합 = AES.
잔여 위험: SIM 교환(드물지만 가치가 높은 대상으로 알려져 있음).
앱별 OTP
앱(Google Authenticator, Authy, Twilio Authy)에서 생성된 코드입니다. 높은 지분의 경우 SMS보다 안전합니다.
생체 인식
지문, 얼굴인식. 경험을 간소화하기 위해 모바일에서 사용됩니다. 서버 측에 저장되지 않습니다(GDPR 준수).
개인증명서
QTSP에서 발행한 암호화 인증서로 장치(YubiKey, 스마트 카드)에 저장됩니다. QES에 필수입니다.
비디오 KYC
화상회의나 녹음을 통한 본인 확인. 규제 부문(은행, 보험)에 사용됩니다.
국가 디지털 신원
FranceConnect+, itsme(벨기에), SPID(이탈리아). eIDAS에서는 "상당한" 수준으로 인정합니다.
보증 수준(LoA)
eIDAS는 세 가지 수준을 정의합니다.
레벨 | 요구사항 | 예
낮음 | 이메일 또는 이에 상응하는 이메일 | 그의
상당한 | 이중 요소 | AES(이메일 + OTP)
높음 | 엄격한 본인확인 | QES, 비디오 KYC
문제와의 일치
- 내부 문서, 구매 주문서: 낮은 LoA(SES)이면 충분합니다.
- 고용 계약, 임대, NDA: 상당한 LoA(AES)
- 공증 증서, 공개 시장: 높은 LoA(QES)
일반적인 오류
- 모든 것에 SES를 사용하세요(소규모)
- 불필요하게 인증 중첩(마찰)
- 사용된 방법을 기록하지 않음(약화된 증거)
- 너무 많은 생체 데이터 수집(GDPR)
공격으로부터 보호
- 피싱: 보낸 사람을 확인하기 위해 서명자 교육
- 중간자: TLS 1.3 필요
- SIM 교환: 매우 높은 위험을 위한 앱별 OTP
- 딥페이크 동영상 KYC: 활성 확인 + 교차 확인
구체적인 사례: 네오뱅크
계좌 개설 과정:
- 신뢰할 수 있는 이메일
- OTP SMS
- 신분증 업로드
- 생체 테스트(셀카)
- 제재 근거에 대한 교차 점검
- AES 서명
LoA: 상당해요. ACPR을 준수합니다. 10분 안에 처리됩니다.
Certyneo가 귀하를 돕는 방법
Certyneo는 이메일, OTP SMS(Twilio 확인을 통해), QES를 위한 적격 인증서 통합, 선택적 비디오 KYC, FranceConnect+ 통합 등 모든 일반적인 메커니즘을 제공합니다. 각 방법은 감사 추적에 기록됩니다.
FAQ
SMS는 충분히 안전합니까?
AES의 경우 그렇습니다. 매우 높은 지분의 경우 OTP 앱이나 생체인식을 선호합니다.
생체 인식이 저장되나요?
서버측 번호(GDPR 준수). 템플릿은 장치에 남아 있습니다.
여러 가지 방법을 결합할 수 있나요?
네, 증거를 강화하기 위해서죠.
FranceConnect+가 인식되나요?
네, 상당한 수준입니다. AES 및 QES를 트리거할 수 있습니다.
OTP가 만료되면 어떻게 되나요?
서명자는 새로운 서명을 요청할 수 있습니다. 무차별 대입 제한이 적용됩니다.
결론
좋은 인증은 등급을 매기고 추적하며 문제에 맞게 조정됩니다. 과도한 인증은 마찰을 야기합니다. 과소 인증하면 증거가 약화됩니다. 잔액은 문서별로 찾아집니다.
Certyneo를 사용하여 온라인으로 간단하고 빠르고 안전하게 문서를 보내고 서명하고 추적해 보세요.