De 7 beveiligingslagen van een eIDAS-conforme elektronische handtekening
Begrijp wat er onder de motorkap gebeurt wanneer u een document ondertekent: 7 cryptografische lagen gestapeld, elk met zijn referentiestandaard (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+). Zonder één ervan is de handtekening niet afdwingbaar.
De 7 lagen van de beveiligingsstapel
Elke laag biedt een specifieke garantie. Om een handtekening eIDAS-conform en afdwingbaar te maken, moeten alle 7 aanwezig zijn en correct geïmplementeerd. Certyneo is voor elk gecertificeerd.
Identificatie van de ondertekenaar
Certyneo gecertificeerdVóór elke handtekening wordt de ondertekenaar geïdentificeerd via SMS-code, ID-scan of gekwalificeerd certificaat (QES). Dit is de laag die antwoordt op "wie heeft ondertekend?".
📜 eIDAS Annexe II §1.b
Zonder betrouwbare identificatie heeft de handtekening geen bewijskracht (Burgerlijk Wetboek 1367).
Transportbeveiliging
Certyneo gecertificeerdTLS 1.3 op alle client ↔ server communicatie. Downgrade naar TLS 1.0/1.1 niet toegestaan. EV-certificaten met driemaandelijkse rotatie.
📜 TLS 1.3 (RFC 8446)
Voorkomt onderschepping van het document tussen afzender en ondertekenaar (MITM-aanval).
Cryptografische handtekening (PAdES)
Certyneo gecertificeerdAanstelling van de handtekening in PAdES-formaat (PDF Advanced Electronic Signature) volgens ETSI EN 319 142. Handtekening gebonden aan het document, niet aan een externe wrapper.
📜 ETSI EN 319 142 (PAdES)
Garandeert dat de handtekening niet kan worden losgekoppeld en op een ander document geplakt.
Gekwalificeerde tijdstempel
Certyneo gecertificeerdIntegratie van een RFC 3161 tijdstempel uitgegeven door een gekwalificeerde autoriteit (TSA) ingeschreven op de EU LOTL. Precisie tot op de milliseconde.
📜 RFC 3161 + ETSI EN 319 421
Bewijst dat de handtekening op een precies moment T bestaat, niet achteraf gereconstrueerd.
HSM-module (Hardware Security Module)
Certyneo gecertificeerdDe persoonlijke ondertekeningssleutels worden opgeslagen in een HSM die is gecertificeerd volgens Common Criteria EAL4+ en FIPS 140-2 niveau 3. De sleutels verlaten de HSM nooit in duidelijke vorm.
📜 Critères Communs EAL4+ / FIPS 140-2
Voorkomt sleuteldiefstallen, zelfs in geval van compromittering van de toepassingsserver.
eIDAS audit trail
Certyneo gecertificeerdOnveranderbare log van elke gebeurtenis in de ondertekenningscyclus (creatie, verzending, ondertekening, verzegeling) met IP, tijdstempel, identiteit. Format conform ETSI EN 319 102-1.
📜 ETSI EN 319 102-1
Levert het volledige bewijsmateriaal dat een rechtbank in geval van geschil nodig heeft.
Probatoire archivering
Certyneo gecertificeerdOpslag van het ondertekende document + audit trail + certificaat voor minimaal 10 jaar in een systeem dat conform is aan AFNOR NF Z42-013. Periodieke retijdstempeling om cryptografische veroudering tegen te gaan.
📜 AFNOR NF Z42-013
Behoudt de bewijswaarde van het document gedurende de gehele verjaring in het burgerrecht.
De 4 belangrijkste bedreigingen en hun bestrijding
Een solide ondertekeningstarchitectuur is ontworpen om 4 klassieke aanvallen te weerstaan. Hier zijn ze, en welke laag ze neutraliseert.
Identiteitsdiefstal — "een ander heeft op mijn naam ondertekend"
SMS-authenticatie / ID-scan + IP- en geolocatieloggen. Voor handelingen met inzet, QES-certificaat uitgegeven door een gekwalificeerde PSCo.
Laag 1 (Identificatie)
Documentwijziging — "de ondertekende inhoud is gewijzigd"
SHA-256-hash van het document ondertekend door de HSM-sleutel. Elke latere wijziging maakt de hash en de handtekening ongeldig.
Lagen 3 & 5 (Ondertekening + HSM)
Man-in-the-middle — "een derde heeft onderschept"
Verplicht TLS 1.3 met EV-certificaten + HSTS preload op alle domeinen.
Laag 2 (Transport)
Ontkenning — "ik heb nooit ondertekend / niet op deze datum"
Onveranderbaar audittrail + gekwalificeerde tijdstempel RFC 3161 + bewijsarchivering AFNOR. De bewijslast gaat naar de ondertekenaar over.
Lagen 4, 6 & 7 (Tijdstempel + Audit + Archivering)
Methodologie
De 7 beschreven lagen komen overeen met de veiligheidsarchitectuur van Certyneo, in overeenstemming met de eIDAS-verordening van 2014 (EU 910/2014), de normen ETSI EN 319 (reeksen Handtekening en Zegels), het Algemeen Veiligheidskader (RGS**) van ANSSI, en de norm AFNOR NF Z42-013 voor bewijsarchivering. Elke laag wordt jaarlijks geaudit door een onafhankelijke derde partij.
Meer informatie
Een cryptografisch verzegelde elektronische handtekening
De 7 bovenstaande lagen zijn standaard geïmplementeerd op alle Certyneo-abonnementen, inclusief het gratis plan.