De 7 sikkerhetslagene for en eIDAS-kompatibel elektronisk signatur
Forstå hva som skjer under hoden når du signerer et dokument: 7 krypteringslag stablert, hver med sin referansestandard (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).
De syv lagene av sikkerhetssamlingen
For at en signatur skal være eIDAS-kompatibel og oppgjørelig, må alle 7 være tilstede og implementert riktig.
Identifisering av underskriveren
Certyneo sertifisertFør en underskrift, er underskriveren identifisert via SMS-kode, ID-skanning, eller kvalifisert sertifikat (QES).
📜 eIDAS Annexe II §1.b
Uten pålitelig identifikasjon er signaturen ikke bevisverdig (Civil Code 1367).
Transportsikkerhet
Certyneo sertifisertTLS 1.3 på all klient-server-kommunikasjon. Ingen nedgradering til TLS 1.0/1.1 tillatt. EV-sertifikater med kvartalsvis rotasjon.
📜 TLS 1.3 (RFC 8446)
Det forhindrer at dokumentet blir avlyttet mellom sender og underskriver (MITM-angrep).
Kryptografisk signatur (PAdES)
Certyneo sertifisertPåføring av signaturen i PAdES (PDF Advanced Electronic Signature) formatet i henhold til ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Sikrer at signaturen ikke kan løsnes og festes på et annet dokument.
Kvalifisert tidsstempling
Certyneo sertifisertIntegrering av en RFC 3161 tidsstempling utstedt av en kvalifisert myndighet (TSA) registrert på EU LOTL.
📜 RFC 3161 + ETSI EN 319 421
Bevis for at signaturen eksisterer på et bestemt tidspunkt, ikke rekonstruert etterpå.
HSM-modulen (hardware security module)
Certyneo sertifisertDe private signaturnøklene lagres i en HSM som er sertifisert EAL4+ og FIPS 140-2 nivå 3.
📜 Critères Communs EAL4+ / FIPS 140-2
Det forhindrer at nøkkelen blir stjålet selv om applikasjonsserveren blir kompromittert.
eIDAS-trail-revisjon
Certyneo sertifisertUendret logg for hver hendelse i signatursyklusen (skaping, sending, signatur, forsegling) med IP, tidsstempling, identitet.
📜 ETSI EN 319 102-1
Gi full bevismateriale som kreves av en domstol i tilfelle en tvist.
Bevisarkiv
Certyneo sertifisertLagring av signert dokument + audit trail + sertifikat over minst 10 år i et AFNOR NF Z42-013-konformt system.
📜 AFNOR NF Z42-013
Bevarer dokumentets bevisverdighet gjennom hele den sivile forlangelsen.
De fire største trusselen og hvordan de kan reduseres
En solid signaturarkitektur er designet for å tåle fire vanlige angrep.
Identitetsmisbruk "en annen har signert i mitt sted"
SMS-autentisering / ID-skanning + IP-logg og geografisk plassering.
Lag 1 (identifisering)
Endring av dokumentet "det signerte innholdet er endret"
Hash SHA-256 av dokumentet signert med HSM-nøkkelen.
Lag 3 & 5 (signatur + HSM)
Man-in-the-middle "en tredje har avskåret"
TLS 1.3 obligatorisk med EV + HSTS-sertifikater forutlastet på alle områder.
Lag 2 (Transport)
Avvisning "jeg har aldri signert / ikke på denne datoen"
RFC 3161 + AFNOR bevisarkiv.
Lag 4, 6 og 7 (Tidstempling + revisjon + arkivering)
Metodikk
De 7 lagrene som er beskrevet, er Certyneo-sikkerhetsarkitektur, i samsvar med eIDAS-forordningen 2014 (EU 910/2014), ETSI EN 319-standarder (Signature and Cachets-serien), ANSSI's General Security Repository (GRS**) og AFNOR NF Z42-013 standard for evidensarkivering.
For å gå videre
En kryptert elektronisk signatur
De 7 lagrene ovenfor implementeres som standard på alle Certyneo-planene, inkludert den gratis planen.