7 eIDAS atitinkančios elektroninės parašo saugumo sluoksniai
Supraskite, kas vyksta po gaubtuvu, kai pasirašysite dokumentą: 7 užkoduoti kriptografijos sluoksniai, kiekvienas su savo standartiniu standartu (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Bendrieji kriterijai EAL4+).
Septyni saugos baterijos sluoksniai
Kad parašas atitiktų eIDAS reikalavimus ir būtų atmetamas, visi 7 turi būti turimi ir tinkamai įgyvendinti.
Pasirašytojo identifikavimas
Certyneo sertifikatasPrieš pasirašant, pasirašytojas yra identifikuojamas SMS kodu, ID skenu arba kvalifikuotu sertifikatu (QES).
📜 eIDAS Annexe II §1.b
Be patikimo identifikavimo dokumento, parašas neturi įrodomosios galios (Civilinis kodeksas 1367).
Transporto saugumas
Certyneo sertifikatasTLS 1.3 visų klientų ir serverų ryšių atveju. Nėra leista nuleisti į TLS 1.0/1.1. EV sertifikatai, kurie keičiami kas ketvirtį.
📜 TLS 1.3 (RFC 8446)
Negalima perimti dokumento tarp siuntėjo ir pasirašytojo (MITM ataka).
Kryptografinis parašas (PAdES)
Certyneo sertifikatasParašo tvirtinimas PAdES (PDF Advanced Electronic Signature) formatu pagal ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Užtikrina, kad parašas negali būti atskirtas ir uždėtas ant kito dokumento.
Kvalifikuotas laiko ženklinimas
Certyneo sertifikatasĮterpiamas RFC 3161 laiko ženklas, išduotas ES LOTL registruotos kvalifikuotos institucijos (TSA).
📜 RFC 3161 + ETSI EN 319 421
Parodo, kad parašas egzistuoja konkrečioje T-momentėje, o ne atstatytas.
HSM (hardware security module) modulis
Certyneo sertifikatasSavivaldybės, kurios yra atsakingos už pirmenybę, turi turėti teisę į pirmenybę, jei ji yra atsakinga už pirmenybę.
📜 Critères Communs EAL4+ / FIPS 140-2
Užkerta kelią raktų vagystėms net ir pažeidžiant taikomųjų programų serverį.
Audito eIDAS takas
Certyneo sertifikatasNepakitantis kiekvieno pasirašymo ciklo įvykio (kurimo, siuntimo, pasirašymo, užfiksavimo) žurnalas su IP, laiko ženklu ir tapatybe.
📜 ETSI EN 319 102-1
Pateikia visą įrodomąjį įrodymą, kurio reikalauja teismas ginčo atveju.
Įrodymo archyvas
Certyneo sertifikatasPasirašyto dokumento + audito pėdsako + sertifikato saugojimas ne trumpiau kaip 10 metų AFNOR NF Z42-013 sistemai.
📜 AFNOR NF Z42-013
Dokumentas lieka įrodomu visą civilinio senaties laikotarpį.
Keturios pagrindinės grėsmės ir jų mažinimas
Stiprus parašo architektūra yra sukurta, kad atspėtų keturias įprastas atakas. Štai kurios ir koks sluoksnis jas neutralizavo.
Asmeninis sukčiavimas "kas nors kitas pasirašė už mane"
SMS autentifikavimas / ID skenavimas + IP ir geolocalizacijos įrašas.
1 sluoksnis (Identifikavimas)
Dokumentas pakeistas "pirminto turinio pakeitimai"
HSM raktas pasirašyto dokumento SHA-256 hashas. Bet koks tolesnis pakeitimas neleidžia naudoti hashą ir pasirašymą.
3 ir 5 sluoksniai (pirmasis + HSM)
Žmogus viduje "trečioji perėmė"
Privaloma TLS 1.3, su EV + HSTS sertifikatais iš anksto įkelta visose srityse.
2 sluoksnis (Transporto)
Atsisakymas "Aš niekada nepasirašau / ne tą dieną"
Audito neatidėliotinų pėdsakų + kvalifikuotas laiko ženklas RFC 3161 + AFNOR įrodymų archyvas.
4, 6 ir 7 sluoksniai (Spaudimo + Audito + Archyvavimo)
Metodika
7 aprašyti sluoksniai atitinka 2014 m. eIDAS (ES 910/2014) reglamente nustatytą Certyneo saugumo architektūrą, ETSI EN 319 (pirmos ir antraščių serijos) standartus, ANSSI Generalinį saugumo standartą (GRS**) ir AFNOR NF Z42-013 standartą įrodymų saugojimui.
Norėdami eiti toliau
Kriptografu uždaryta elektroninė paraša
7 viršuje nurodyti sluoksniai pagal nutylėjimą yra įgyvendinti visuose "Certyneo" planuose, įskaitant nemokamą planą.