Naar hoofdinhoud gaan
Certyneo
Infografiek architectuur

De 7 beveiligingslagen van een eIDAS-conforme elektronische handtekening

Begrijp wat er onder de motorkap gebeurt wanneer u een document ondertekent: 7 cryptografische lagen gestapeld, elk met zijn referentiestandaard (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+). Zonder één ervan is de handtekening niet afdwingbaar.

De 7 lagen van de beveiligingsstapel

Elke laag biedt een specifieke garantie. Om een handtekening eIDAS-conform en afdwingbaar te maken, moeten alle 7 aanwezig zijn en correct geïmplementeerd. Certyneo is voor elk gecertificeerd.

Laag 1

Identificatie van de ondertekenaar

Certyneo gecertificeerd

Vóór elke handtekening wordt de ondertekenaar geïdentificeerd via SMS-code, ID-scan of gekwalificeerd certificaat (QES). Dit is de laag die antwoordt op "wie heeft ondertekend?".

📜 eIDAS Annexe II §1.b

Zonder betrouwbare identificatie heeft de handtekening geen bewijskracht (Burgerlijk Wetboek 1367).

Laag 2

Transportbeveiliging

Certyneo gecertificeerd

TLS 1.3 op alle client ↔ server communicatie. Downgrade naar TLS 1.0/1.1 niet toegestaan. EV-certificaten met driemaandelijkse rotatie.

📜 TLS 1.3 (RFC 8446)

Voorkomt onderschepping van het document tussen afzender en ondertekenaar (MITM-aanval).

Laag 3

Cryptografische handtekening (PAdES)

Certyneo gecertificeerd

Aanstelling van de handtekening in PAdES-formaat (PDF Advanced Electronic Signature) volgens ETSI EN 319 142. Handtekening gebonden aan het document, niet aan een externe wrapper.

📜 ETSI EN 319 142 (PAdES)

Garandeert dat de handtekening niet kan worden losgekoppeld en op een ander document geplakt.

Laag 4

Gekwalificeerde tijdstempel

Certyneo gecertificeerd

Integratie van een RFC 3161 tijdstempel uitgegeven door een gekwalificeerde autoriteit (TSA) ingeschreven op de EU LOTL. Precisie tot op de milliseconde.

📜 RFC 3161 + ETSI EN 319 421

Bewijst dat de handtekening op een precies moment T bestaat, niet achteraf gereconstrueerd.

Laag 5

HSM-module (Hardware Security Module)

Certyneo gecertificeerd

De persoonlijke ondertekeningssleutels worden opgeslagen in een HSM die is gecertificeerd volgens Common Criteria EAL4+ en FIPS 140-2 niveau 3. De sleutels verlaten de HSM nooit in duidelijke vorm.

📜 Critères Communs EAL4+ / FIPS 140-2

Voorkomt sleuteldiefstallen, zelfs in geval van compromittering van de toepassingsserver.

Laag 6

eIDAS audit trail

Certyneo gecertificeerd

Onveranderbare log van elke gebeurtenis in de ondertekenningscyclus (creatie, verzending, ondertekening, verzegeling) met IP, tijdstempel, identiteit. Format conform ETSI EN 319 102-1.

📜 ETSI EN 319 102-1

Levert het volledige bewijsmateriaal dat een rechtbank in geval van geschil nodig heeft.

Laag 7

Probatoire archivering

Certyneo gecertificeerd

Opslag van het ondertekende document + audit trail + certificaat voor minimaal 10 jaar in een systeem dat conform is aan AFNOR NF Z42-013. Periodieke retijdstempeling om cryptografische veroudering tegen te gaan.

📜 AFNOR NF Z42-013

Behoudt de bewijswaarde van het document gedurende de gehele verjaring in het burgerrecht.

De 4 belangrijkste bedreigingen en hun bestrijding

Een solide ondertekeningstarchitectuur is ontworpen om 4 klassieke aanvallen te weerstaan. Hier zijn ze, en welke laag ze neutraliseert.

  • Identiteitsdiefstal — "een ander heeft op mijn naam ondertekend"

    SMS-authenticatie / ID-scan + IP- en geolocatieloggen. Voor handelingen met inzet, QES-certificaat uitgegeven door een gekwalificeerde PSCo.

    Laag 1 (Identificatie)

  • Documentwijziging — "de ondertekende inhoud is gewijzigd"

    SHA-256-hash van het document ondertekend door de HSM-sleutel. Elke latere wijziging maakt de hash en de handtekening ongeldig.

    Lagen 3 & 5 (Ondertekening + HSM)

  • Man-in-the-middle — "een derde heeft onderschept"

    Verplicht TLS 1.3 met EV-certificaten + HSTS preload op alle domeinen.

    Laag 2 (Transport)

  • Ontkenning — "ik heb nooit ondertekend / niet op deze datum"

    Onveranderbaar audittrail + gekwalificeerde tijdstempel RFC 3161 + bewijsarchivering AFNOR. De bewijslast gaat naar de ondertekenaar over.

    Lagen 4, 6 & 7 (Tijdstempel + Audit + Archivering)

Methodologie

De 7 beschreven lagen komen overeen met de veiligheidsarchitectuur van Certyneo, in overeenstemming met de eIDAS-verordening van 2014 (EU 910/2014), de normen ETSI EN 319 (reeksen Handtekening en Zegels), het Algemeen Veiligheidskader (RGS**) van ANSSI, en de norm AFNOR NF Z42-013 voor bewijsarchivering. Elke laag wordt jaarlijks geaudit door een onafhankelijke derde partij.

Meer informatie

Een cryptografisch verzegelde elektronische handtekening

De 7 bovenstaande lagen zijn standaard geïmplementeerd op alle Certyneo-abonnementen, inclusief het gratis plan.