Przejdź do zawartości głównej
Certyneo
Architektura

Siedem warstw bezpieczeństwa zgodnego z eIDAS podpisu elektronicznego

Zrozumieć, co dzieje się pod maską, gdy podpisujesz dokument: 7 warstw kryptograficznych, każda z nimi z standardem odniesienia (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).

Siedem warstw baterii bezpieczeństwa

Aby podpis był zgodny z eIDAS i oponujący, wszystkie 7 warstw muszą być obecne i prawidłowo wdrożone.

Łóżko.1

Identyfikacja sygnatariusza

Certyneo certyfikowane

Przed podpisaniem podpisujący jest identyfikowany za pomocą kodu SMS, skanu ID lub kwalifikowanego certyfikatu (QES).

📜 eIDAS Annexe II §1.b

Bez wiarygodnego dowodu tożsamości podpis nie ma wartości dowodowej (kodeksu cywilnego 1367).

Łóżko.2

Bezpieczeństwo transportu

Certyneo certyfikowane

TLS 1.3 na wszystkich komunikacjach klienta serwera. Nie dozwolone downgrade do TLS 1.0/1.1.

📜 TLS 1.3 (RFC 8446)

Zapobiega przechwytywaniu dokumentu między nadawcą a sygnatariuszem (atak MITM).

Łóżko.3

Podpis kryptograficzny (PAdES)

Certyneo certyfikowane

Podpis w formacie PAdES (PDF Advanced Electronic Signature) zgodnie z ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Zapewnia, że podpis nie może zostać odcięty i przyklejony do innego dokumentu.

Łóżko.4

Wykwalifikowane znaki zegarowe

Certyneo certyfikowane

Włączenie zegara RFC 3161 wydanego przez właściwy organ (TSA) zarejestrowany na EU LOTL. Dokładność do milisekund.

📜 RFC 3161 + ETSI EN 319 421

Dowodzi, że sygnatura istniała w konkretnym momencie T, nie została odbudowana w przyszłości.

Łóżko.5

Moduł zabezpieczeń sprzętowych (HSM)

Certyneo certyfikowane

Klucze prywatne sygnatury są przechowywane w HSM certyfikowanym według kryteriów EAL4+ i FIPS 140-2 poziomu 3.

📜 Critères Communs EAL4+ / FIPS 140-2

Zapobiega kradzieży kluczy nawet w przypadku naruszenia serwera aplikacji.

Łóżko.6

Audyt ścieżki eIDAS

Certyneo certyfikowane

Niezmieniony dziennik każdego zdarzenia w cyklu podpisania (tworzenie, wysyłanie, podpisanie, pieczętowanie) z IP, czasopismą, tożsamością.

📜 ETSI EN 319 102-1

Zapewnia pełne dowody dowodowe wymagane przez sąd w przypadku sporu.

Łóżko.7

Archiwum dowodowe

Certyneo certyfikowane

Przechowywanie podpisanego dokumentu + ścieżki audytu + certyfikatu przez co najmniej 10 lat w systemie zgodnym z AFNOR NF Z42-013.

📜 AFNOR NF Z42-013

Utrzymuje dowodową wartość dokumentu przez cały okres cywilnego przedawnienia.

Cztery główne zagrożenia i ich ograniczenie

Architektura silnej sygnatury jest zaprojektowana tak, by wytrzymać cztery klasyczne ataki.

  • Podstęp "Inny podpisał za mnie"

    Autentyfikacja SMS / skanowanie identyfikatorów + log IP i geolokalizacja.

    Wartość 1 (Identyfikacja)

  • Zmiana dokumentu "podpisana treść została zmieniona"

    Hash SHA-256 dokumentu podpisanego kluczem HSM. Wszelkie dalsze zmiany uniemożliwiają hash i podpis.

    Warstwa 3 i 5 (podpis + HSM)

  • Człowiek w środku "trzecia odcięła"

    Wymagane TLS 1.3 z EV + HSTS certyfikatami preloadowanymi we wszystkich obszarach.

    Warstwa 2 (Transport)

  • Odmowa "Nigdy nie podpisałem / nie w tym dniu"

    Audyt ścieżki niezmiennego + zakwalifikowany czasopismo RFC 3161 + archiwizowanie dowodów AFNOR.

    Stropy 4, 6 i 7 (stemplowanie + audyt + archiwizacja)

Metodologia

7 opisanych warstw odpowiada architekturze bezpieczeństwa Certyneo zgodnej z rozporządzeniem eIDAS z 2014 r. (UE 910/2014), standardami ETSI EN 319 (Sygnatura i Cachety), ANSSI General Security Repository (GRS**) oraz standardem AFNOR NF Z42-013 dla archiwizacji dowodów.

Do dalszego rozwoju

Podpis elektroniczny zszyfrowany

Powyższe 7 warstw jest domyślnie wdrożonych we wszystkich planach Certyneo, w tym w planie bezpłatnym.