Gå til hovedinnhold
Certyneo
Infotografi arkitektur

De 7 sikkerhetslagene for en eIDAS-kompatibel elektronisk signatur

Forstå hva som skjer under hoden når du signerer et dokument: 7 krypteringslag stablert, hver med sin referansestandard (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).

De syv lagene av sikkerhetssamlingen

For at en signatur skal være eIDAS-kompatibel og oppgjørelig, må alle 7 være tilstede og implementert riktig.

Søvnen1

Identifisering av underskriveren

Certyneo sertifisert

Før en underskrift, er underskriveren identifisert via SMS-kode, ID-skanning, eller kvalifisert sertifikat (QES).

📜 eIDAS Annexe II §1.b

Uten pålitelig identifikasjon er signaturen ikke bevisverdig (Civil Code 1367).

Søvnen2

Transportsikkerhet

Certyneo sertifisert

TLS 1.3 på all klient-server-kommunikasjon. Ingen nedgradering til TLS 1.0/1.1 tillatt. EV-sertifikater med kvartalsvis rotasjon.

📜 TLS 1.3 (RFC 8446)

Det forhindrer at dokumentet blir avlyttet mellom sender og underskriver (MITM-angrep).

Søvnen3

Kryptografisk signatur (PAdES)

Certyneo sertifisert

Påføring av signaturen i PAdES (PDF Advanced Electronic Signature) formatet i henhold til ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Sikrer at signaturen ikke kan løsnes og festes på et annet dokument.

Søvnen4

Kvalifisert tidsstempling

Certyneo sertifisert

Integrering av en RFC 3161 tidsstempling utstedt av en kvalifisert myndighet (TSA) registrert på EU LOTL.

📜 RFC 3161 + ETSI EN 319 421

Bevis for at signaturen eksisterer på et bestemt tidspunkt, ikke rekonstruert etterpå.

Søvnen5

HSM-modulen (hardware security module)

Certyneo sertifisert

De private signaturnøklene lagres i en HSM som er sertifisert EAL4+ og FIPS 140-2 nivå 3.

📜 Critères Communs EAL4+ / FIPS 140-2

Det forhindrer at nøkkelen blir stjålet selv om applikasjonsserveren blir kompromittert.

Søvnen6

eIDAS-trail-revisjon

Certyneo sertifisert

Uendret logg for hver hendelse i signatursyklusen (skaping, sending, signatur, forsegling) med IP, tidsstempling, identitet.

📜 ETSI EN 319 102-1

Gi full bevismateriale som kreves av en domstol i tilfelle en tvist.

Søvnen7

Bevisarkiv

Certyneo sertifisert

Lagring av signert dokument + audit trail + sertifikat over minst 10 år i et AFNOR NF Z42-013-konformt system.

📜 AFNOR NF Z42-013

Bevarer dokumentets bevisverdighet gjennom hele den sivile forlangelsen.

De fire største trusselen og hvordan de kan reduseres

En solid signaturarkitektur er designet for å tåle fire vanlige angrep.

  • Identitetsmisbruk "en annen har signert i mitt sted"

    SMS-autentisering / ID-skanning + IP-logg og geografisk plassering.

    Lag 1 (identifisering)

  • Endring av dokumentet "det signerte innholdet er endret"

    Hash SHA-256 av dokumentet signert med HSM-nøkkelen.

    Lag 3 & 5 (signatur + HSM)

  • Man-in-the-middle "en tredje har avskåret"

    TLS 1.3 obligatorisk med EV + HSTS-sertifikater forutlastet på alle områder.

    Lag 2 (Transport)

  • Avvisning "jeg har aldri signert / ikke på denne datoen"

    RFC 3161 + AFNOR bevisarkiv.

    Lag 4, 6 og 7 (Tidstempling + revisjon + arkivering)

Metodikk

De 7 lagrene som er beskrevet, er Certyneo-sikkerhetsarkitektur, i samsvar med eIDAS-forordningen 2014 (EU 910/2014), ETSI EN 319-standarder (Signature and Cachets-serien), ANSSI's General Security Repository (GRS**) og AFNOR NF Z42-013 standard for evidensarkivering.

For å gå videre

En kryptert elektronisk signatur

De 7 lagrene ovenfor implementeres som standard på alle Certyneo-planene, inkludert den gratis planen.