Pereiti prie pagrindinio turinio
Certyneo
Architektūros infografika

7 eIDAS atitinkančios elektroninės parašo saugumo sluoksniai

Supraskite, kas vyksta po gaubtuvu, kai pasirašysite dokumentą: 7 užkoduoti kriptografijos sluoksniai, kiekvienas su savo standartiniu standartu (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Bendrieji kriterijai EAL4+).

Septyni saugos baterijos sluoksniai

Kad parašas atitiktų eIDAS reikalavimus ir būtų atmetamas, visi 7 turi būti turimi ir tinkamai įgyvendinti.

Lygiai taip.1

Pasirašytojo identifikavimas

Certyneo sertifikatas

Prieš pasirašant, pasirašytojas yra identifikuojamas SMS kodu, ID skenu arba kvalifikuotu sertifikatu (QES).

📜 eIDAS Annexe II §1.b

Be patikimo identifikavimo dokumento, parašas neturi įrodomosios galios (Civilinis kodeksas 1367).

Lygiai taip.2

Transporto saugumas

Certyneo sertifikatas

TLS 1.3 visų klientų ir serverų ryšių atveju. Nėra leista nuleisti į TLS 1.0/1.1. EV sertifikatai, kurie keičiami kas ketvirtį.

📜 TLS 1.3 (RFC 8446)

Negalima perimti dokumento tarp siuntėjo ir pasirašytojo (MITM ataka).

Lygiai taip.3

Kryptografinis parašas (PAdES)

Certyneo sertifikatas

Parašo tvirtinimas PAdES (PDF Advanced Electronic Signature) formatu pagal ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Užtikrina, kad parašas negali būti atskirtas ir uždėtas ant kito dokumento.

Lygiai taip.4

Kvalifikuotas laiko ženklinimas

Certyneo sertifikatas

Įterpiamas RFC 3161 laiko ženklas, išduotas ES LOTL registruotos kvalifikuotos institucijos (TSA).

📜 RFC 3161 + ETSI EN 319 421

Parodo, kad parašas egzistuoja konkrečioje T-momentėje, o ne atstatytas.

Lygiai taip.5

HSM (hardware security module) modulis

Certyneo sertifikatas

Savivaldybės, kurios yra atsakingos už pirmenybę, turi turėti teisę į pirmenybę, jei ji yra atsakinga už pirmenybę.

📜 Critères Communs EAL4+ / FIPS 140-2

Užkerta kelią raktų vagystėms net ir pažeidžiant taikomųjų programų serverį.

Lygiai taip.6

Audito eIDAS takas

Certyneo sertifikatas

Nepakitantis kiekvieno pasirašymo ciklo įvykio (kurimo, siuntimo, pasirašymo, užfiksavimo) žurnalas su IP, laiko ženklu ir tapatybe.

📜 ETSI EN 319 102-1

Pateikia visą įrodomąjį įrodymą, kurio reikalauja teismas ginčo atveju.

Lygiai taip.7

Įrodymo archyvas

Certyneo sertifikatas

Pasirašyto dokumento + audito pėdsako + sertifikato saugojimas ne trumpiau kaip 10 metų AFNOR NF Z42-013 sistemai.

📜 AFNOR NF Z42-013

Dokumentas lieka įrodomu visą civilinio senaties laikotarpį.

Keturios pagrindinės grėsmės ir jų mažinimas

Stiprus parašo architektūra yra sukurta, kad atspėtų keturias įprastas atakas. Štai kurios ir koks sluoksnis jas neutralizavo.

  • Asmeninis sukčiavimas "kas nors kitas pasirašė už mane"

    SMS autentifikavimas / ID skenavimas + IP ir geolocalizacijos įrašas.

    1 sluoksnis (Identifikavimas)

  • Dokumentas pakeistas "pirminto turinio pakeitimai"

    HSM raktas pasirašyto dokumento SHA-256 hashas. Bet koks tolesnis pakeitimas neleidžia naudoti hashą ir pasirašymą.

    3 ir 5 sluoksniai (pirmasis + HSM)

  • Žmogus viduje "trečioji perėmė"

    Privaloma TLS 1.3, su EV + HSTS sertifikatais iš anksto įkelta visose srityse.

    2 sluoksnis (Transporto)

  • Atsisakymas "Aš niekada nepasirašau / ne tą dieną"

    Audito neatidėliotinų pėdsakų + kvalifikuotas laiko ženklas RFC 3161 + AFNOR įrodymų archyvas.

    4, 6 ir 7 sluoksniai (Spaudimo + Audito + Archyvavimo)

Metodika

7 aprašyti sluoksniai atitinka 2014 m. eIDAS (ES 910/2014) reglamente nustatytą Certyneo saugumo architektūrą, ETSI EN 319 (pirmos ir antraščių serijos) standartus, ANSSI Generalinį saugumo standartą (GRS**) ir AFNOR NF Z42-013 standartą įrodymų saugojimui.

Norėdami eiti toliau

Kriptografu uždaryta elektroninė paraša

7 viršuje nurodyti sluoksniai pagal nutylėjimą yra įgyvendinti visuose "Certyneo" planuose, įskaitant nemokamą planą.