Mergeți la conținutul principal
Certyneo
Arhitectura

Cele 7 straturi de securitate ale unei semnături electronice conforme eIDAS

Înțelegeți ce se întâmplă sub capotă atunci când semnați un document: 7 straturi criptografice, fiecare cu standardul său de referință (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Criteriile comune EAL4+).

Cele 7 straturi ale bateriei de siguranţă

Fiecare strat are o garanție specifică. Pentru ca o semnătură să fie conformă eIDAS și controversată, toate cele 7 trebuie să fie prezente și implementate corect.

În pat .1

Identificarea semnatarului

Certificat Certyneo

Înainte de orice semnare, semnatarul este identificat prin cod SMS, scanare de ID sau certificat calificat (QES).

📜 eIDAS Annexe II §1.b

Fără o identificare sigură, semnătura nu are valoare probantă (Codul civil 1367).

În pat .2

Siguranța transportului

Certificat Certyneo

TLS 1.3 pe toate comunicațiile client server. Nu este permisă degradarea la TLS 1.0/1.1. Certificatele EV cu rotație trimestrială.

📜 TLS 1.3 (RFC 8446)

Previne interceptarea documentului între emitent și semnatar (atac MITM).

În pat .3

Semnătura criptografică (PAdES)

Certificat Certyneo

Aplicarea semnăturii în formatul PAdES (PDF Advanced Electronic Signature) conform ETSI EN 319 142.

📜 ETSI EN 319 142 (PAdES)

Asigură că semnătura nu poate fi ruptă și lipită pe un alt document.

În pat .4

Stampilarea calificată a timpului

Certificat Certyneo

Integrarea unui timestamp RFC 3161 emis de o autoritate calificată (TSA) înregistrată pe EU LOTL.

📜 RFC 3161 + ETSI EN 319 421

Dovedeşte că semnătura există la un moment T precis, nu reconstruită după aceea.

În pat .5

Modulul HSM (Hardware Security Module)

Certificat Certyneo

Cheile private de semnare sunt stocate într-un HSM certificat EAL4+ și FIPS 140-2 nivel 3.

📜 Critères Communs EAL4+ / FIPS 140-2

Previne furtul cheii chiar dacă serverul de aplicaţii este compromis.

În pat .6

Audit trail eIDAS

Certificat Certyneo

Log imuabil al fiecărui eveniment din ciclul de semnare (creare, trimitere, semnare, siglare) cu IP, timestamp, identitate.

📜 ETSI EN 319 102-1

Furnizează dovezi complete solicitate de o instanță în caz de litigiu.

În pat .7

Arhiva probelor

Certificat Certyneo

Stocarea documentului semnat + audit trail + certificat pentru cel puțin 10 ani într-un sistem conform AFNOR NF Z42-013.

📜 AFNOR NF Z42-013

Păstrează valoarea probatorie a documentului pe tot parcursul prescripției civile.

Cele patru amenințări majore și atenuarea lor

O arhitectură de semnătură solidă este proiectată să reziste la patru atacuri clasice.

  • Furt de identitate "altcineva a semnat în locul meu"

    Autentificare prin SMS/scanare ID + log IP și localizare geografică.

    Layer 1 (Identificare)

  • Modificarea documentului "conținutul semnat a fost modificat"

    Hash SHA-256 al documentului semnat cu cheia HSM. Orice modificare ulterioară invalidă hash-ul și semnătura.

    straturi 3 & 5 (semnătură + HSM)

  • Omul din mijloc "un al treilea interceptat"

    TLS 1.3 obligatoriu cu certificate EV + HSTS preloadate pe toate domeniile.

    Layer 2 (Transport)

  • Repudiere "nu am semnat niciodată / nu pe această dată"

    Audit trail immutabil + timestamping calificat RFC 3161 + arhivare probatorie AFNOR.

    straturile 4, 6 și 7 (Etimulare + Audit + Arhivare)

Metodologie

Cele 7 straturi descrise corespund arhitecturii de securitate Certyneo, conformă cu Regulamentul eIDAS din 2014 (UE 910/2014), standardelor ETSI EN 319 (Signature and Cachets series), ANSSI General Security Repository (GRS**) și standardului AFNOR NF Z42-013 pentru arhivarea probelor.

Pentru a merge mai departe

O semnătură electronică sigilată criptografic

Cele 7 straturi de mai sus sunt implementate prin implicit pe toate planurile Certyneo, inclusiv planul gratuit.