Siedem warstw bezpieczeństwa zgodnego z eIDAS podpisu elektronicznego
Zrozumieć, co dzieje się pod maską, gdy podpisujesz dokument: 7 warstw kryptograficznych, każda z nimi z standardem odniesienia (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Common Criteria EAL4+).
Siedem warstw baterii bezpieczeństwa
Aby podpis był zgodny z eIDAS i oponujący, wszystkie 7 warstw muszą być obecne i prawidłowo wdrożone.
Identyfikacja sygnatariusza
Certyneo certyfikowanePrzed podpisaniem podpisujący jest identyfikowany za pomocą kodu SMS, skanu ID lub kwalifikowanego certyfikatu (QES).
📜 eIDAS Annexe II §1.b
Bez wiarygodnego dowodu tożsamości podpis nie ma wartości dowodowej (kodeksu cywilnego 1367).
Bezpieczeństwo transportu
Certyneo certyfikowaneTLS 1.3 na wszystkich komunikacjach klienta serwera. Nie dozwolone downgrade do TLS 1.0/1.1.
📜 TLS 1.3 (RFC 8446)
Zapobiega przechwytywaniu dokumentu między nadawcą a sygnatariuszem (atak MITM).
Podpis kryptograficzny (PAdES)
Certyneo certyfikowanePodpis w formacie PAdES (PDF Advanced Electronic Signature) zgodnie z ETSI EN 319 142.
📜 ETSI EN 319 142 (PAdES)
Zapewnia, że podpis nie może zostać odcięty i przyklejony do innego dokumentu.
Wykwalifikowane znaki zegarowe
Certyneo certyfikowaneWłączenie zegara RFC 3161 wydanego przez właściwy organ (TSA) zarejestrowany na EU LOTL. Dokładność do milisekund.
📜 RFC 3161 + ETSI EN 319 421
Dowodzi, że sygnatura istniała w konkretnym momencie T, nie została odbudowana w przyszłości.
Moduł zabezpieczeń sprzętowych (HSM)
Certyneo certyfikowaneKlucze prywatne sygnatury są przechowywane w HSM certyfikowanym według kryteriów EAL4+ i FIPS 140-2 poziomu 3.
📜 Critères Communs EAL4+ / FIPS 140-2
Zapobiega kradzieży kluczy nawet w przypadku naruszenia serwera aplikacji.
Audyt ścieżki eIDAS
Certyneo certyfikowaneNiezmieniony dziennik każdego zdarzenia w cyklu podpisania (tworzenie, wysyłanie, podpisanie, pieczętowanie) z IP, czasopismą, tożsamością.
📜 ETSI EN 319 102-1
Zapewnia pełne dowody dowodowe wymagane przez sąd w przypadku sporu.
Archiwum dowodowe
Certyneo certyfikowanePrzechowywanie podpisanego dokumentu + ścieżki audytu + certyfikatu przez co najmniej 10 lat w systemie zgodnym z AFNOR NF Z42-013.
📜 AFNOR NF Z42-013
Utrzymuje dowodową wartość dokumentu przez cały okres cywilnego przedawnienia.
Cztery główne zagrożenia i ich ograniczenie
Architektura silnej sygnatury jest zaprojektowana tak, by wytrzymać cztery klasyczne ataki.
Podstęp "Inny podpisał za mnie"
Autentyfikacja SMS / skanowanie identyfikatorów + log IP i geolokalizacja.
Wartość 1 (Identyfikacja)
Zmiana dokumentu "podpisana treść została zmieniona"
Hash SHA-256 dokumentu podpisanego kluczem HSM. Wszelkie dalsze zmiany uniemożliwiają hash i podpis.
Warstwa 3 i 5 (podpis + HSM)
Człowiek w środku "trzecia odcięła"
Wymagane TLS 1.3 z EV + HSTS certyfikatami preloadowanymi we wszystkich obszarach.
Warstwa 2 (Transport)
Odmowa "Nigdy nie podpisałem / nie w tym dniu"
Audyt ścieżki niezmiennego + zakwalifikowany czasopismo RFC 3161 + archiwizowanie dowodów AFNOR.
Stropy 4, 6 i 7 (stemplowanie + audyt + archiwizacja)
Metodologia
7 opisanych warstw odpowiada architekturze bezpieczeństwa Certyneo zgodnej z rozporządzeniem eIDAS z 2014 r. (UE 910/2014), standardami ETSI EN 319 (Sygnatura i Cachety), ANSSI General Security Repository (GRS**) oraz standardem AFNOR NF Z42-013 dla archiwizacji dowodów.
Do dalszego rozwoju
Podpis elektroniczny zszyfrowany
Powyższe 7 warstw jest domyślnie wdrożonych we wszystkich planach Certyneo, w tym w planie bezpłatnym.